Évaluation de la sécurité : Modifier un modèle de certificat trop permissif avec une référence EKU privilégiée (référence EKU à usage quelconque ou aucune référence EKU) (ÉCHAP2) (préversion)
Cet article décrit le modèle de certificat trop permissif de Microsoft Defender pour Identity avec le rapport d’évaluation de la posture de sécurité de la référence EKU privilégiée.
Qu’est-ce qu’un modèle de certificat trop permissif avec une référence EKU privilégiée ?
Les certificats numériques jouent un rôle essentiel dans l’établissement de la confiance et la préservation de l’intégrité au sein d’une organisation. Cela est vrai non seulement dans l’authentification de domaine Kerberos, mais également dans d’autres domaines, tels que l’intégrité du code, l’intégrité du serveur et les technologies qui s’appuient sur des certificats tels que services de fédération Active Directory (AD FS) (AD FS) et IPSec.
Lorsqu’un modèle de certificat n’a pas d’EKU à usage unique ou qu’il est inscrit pour tout utilisateur non privilégié, les certificats émis en fonction de ce modèle peuvent être utilisés de manière malveillante par un adversaire, compromettant la confiance.
Même si le certificat ne peut pas être utilisé pour emprunter l’identité de l’utilisateur, il compromisse d’autres composants qui libèrent les certificats numériques pour leur modèle de confiance. Les adversaires peuvent créer des certificats TLS et emprunter l’identité de n’importe quel site web.
Comment faire utiliser cette évaluation de sécurité pour améliorer ma posture de sécurité organisationnelle ?
Passez en revue l’action recommandée pour https://security.microsoft.com/securescore?viewid=actions les modèles de certificats trop permissifs avec une référence EKU privilégiée. Par exemple :
Recherchez pourquoi les modèles ont une référence EKU privilégiée.
Corrigez le problème en procédant comme suit :
- Limitez les autorisations trop permissives du modèle.
- Appliquez des atténuations supplémentaires telles que l’ajout des exigences d’approbation et de signature du Gestionnaire si possible.
Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.
Remarque
Bien que les évaluations soient mises à jour en quasi temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités affectées soit mise à jour dans les quelques minutes suivant l’implémentation des recommandations, l’état peut prendre du temps jusqu’à ce qu’il soit marqué comme terminé.
Les rapports affichent les entités affectées des 30 derniers jours. Après cette période, les entités ne sont plus affectées à partir de la liste des entités exposées.