Partager via

Évaluation de la sécurité : Modifier le propriétaire des modèles de certificat mal configurés (ESC4) (préversion)

  • Article

Cet article fournit une vue d’ensemble du rapport d’évaluation de l’état de sécurité des modèles de certificats mal configurés (ESC4) de Microsoft Defender pour Identity.

Qu’est-ce qu’un propriétaire de modèle de certificat mal configuré ?

Un modèle de certificat est un objet Active Directory avec un propriétaire, qui contrôle l’accès à l’objet et la possibilité de modifier l’objet.

Si les autorisations de propriétaire accordent un groupe intégré et non privilégié avec des autorisations qui autorisent les modifications de paramètre de modèle, un adversaire peut introduire une configuration incorrecte du modèle, élever des privilèges et compromettre l’ensemble du domaine.

Des exemples de groupes intégrés et non privilégiés sont des utilisateurs authentifiés, des utilisateurs de domaine ou tout le monde. Des exemples d’autorisations qui autorisent les modifications de paramètre de modèle sont un contrôle total ou une liste DACL d’écriture.

Comment faire utiliser cette évaluation de sécurité pour améliorer ma posture de sécurité organisationnelle ?

  1. Passez en revue l’action recommandée pour https://security.microsoft.com/securescore?viewid=actions un propriétaire de modèle de certificat mal configuré. Par exemple :

    Screenshot of the Edit misconfigured certificate templates owner (ESC4) recommendation.

  2. Recherchez pourquoi le propriétaire du modèle peut être mal configuré.

  3. Corrigez le problème en remplaçant le propriétaire par un utilisateur privilégié et surveillé.

Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.

Remarque

Bien que les évaluations soient mises à jour en quasi temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités affectées soit mise à jour dans les quelques minutes suivant l’implémentation des recommandations, l’état peut prendre du temps jusqu’à ce qu’il soit marqué comme terminé.

Les rapports affichent les entités affectées des 30 derniers jours. Après cette période, les entités ne sont plus affectées à partir de la liste des entités exposées.

Étapes suivantes