Partager via

Évaluation de la sécurité : Modifier les modèles de certificats mal configurés ACL (ESC4) (préversion)

  • Article

Cet article décrit le rapport d’évaluation de la posture de sécurité ACL du modèle de certificat mal configuré de Microsoft Defender pour Identity.

Qu’est-ce qu’un ACL de modèle de certificat mal configuré ?

Les modèles de certificat sont des objets Active Directory avec une liste de contrôle d’accès contrôlant l’accès à l’objet. Outre la détermination des autorisations d’inscription, la liste de contrôle d’accès détermine également les autorisations pour la modification de l’objet lui-même.

Si, pour une raison quelconque, il existe une entrée dans la liste de contrôle d’accès qui accorde un groupe intégré et non privilégié avec des autorisations qui autorisent les modifications de paramètre de modèle, un adversaire peut introduire une configuration incorrecte du modèle, élever des privilèges et compromettre l’ensemble du domaine.

Des exemples de groupes intégrés et non privilégiés sont des utilisateurs authentifiés, des utilisateurs de domaine ou tout le monde. Des exemples d’autorisations qui autorisent les modifications de paramètre de modèle sont un contrôle total ou une liste DACL d’écriture.

Comment faire utiliser cette évaluation de sécurité pour améliorer ma posture de sécurité organisationnelle ?

  1. Passez en revue l’action recommandée pour https://security.microsoft.com/securescore?viewid=actions une liste de contrôle d’accès du modèle de certificat mal configuré. Par exemple :

    Screenshot of the Edit misconfigured certificate templates ACL (ESC4) recommendation.

  2. Recherchez pourquoi la liste de contrôle d’accès du modèle peut être mal configurée.

  3. Corrigez le problème en supprimant toute entrée qui accorde des autorisations de groupe non privilégiées qui autorisent la falsification du modèle.

  4. Supprimez le modèle de certificat d’être publié par une autorité de certification s’ils ne sont pas nécessaires.

Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.

Remarque

Bien que les évaluations soient mises à jour en quasi temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités affectées soit mise à jour dans les quelques minutes suivant l’implémentation des recommandations, l’état peut prendre du temps jusqu’à ce qu’il soit marqué comme terminé.

Les rapports affichent les entités affectées des 30 derniers jours. Après cette période, les entités ne sont plus affectées à partir de la liste des entités exposées.

Étapes suivantes