Évaluation de la sécurité : modifier les points de terminaison IIS d’inscription des certificat AD CS non sécurisés (ESC8)
Cet article décrit le rapport d’évaluation de la posture de sécurité des identités des Modifier les points de terminaison IIS d’inscription des certificats AD CS non sécurisés de Microsoft Defender for Identity.
Qu’est-ce que les points de terminaison IIS d’inscription des certificats AD CS non sécurisés ?
Le service de certificats Active Directory (AD CS) prend en charge l’inscription de certificats via différentes méthodes et protocoles, notamment l’inscription via HTTP à l’aide du service d’inscription de certificats (CES) ou de l’interface d’inscription Web (Certsrv).
Si le point de terminaison IIS autorise l’authentification NTLM sans appliquer la signature de protocole (HTTPS) ou sans appliquer la protection étendue de l’authentification (EPA), il devient vulnérable aux attaques de relais NTLM (ESC8). Les attaques de relais peuvent conduire à la prise de contrôle complète d’un domaine si un attaquant réussit à le faire.
Prérequis
Cette évaluation est disponible uniquement pour les clients qui ont installé un capteur sur un serveur AD CS. Pour plus d’informations, consultez Configurer le serveur AD FS et AD CS.
Comment puis-je utiliser cette évaluation de sécurité pour améliorer l’état de la sécurité de mon organisation ?
Consultez l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour les points de terminaison IIS d’inscription de certificats AD CS non sécurisés.
L’évaluation répertorie les points de terminaison HTTP problématiques de votre organisation et fournit des conseils pour configurer les points de terminaison de manière sécurisée.
Une fois traité, le risque d’attaque ESC8 est atténué, réduisant considérablement votre surface d’attaque.
Remarque
Les évaluations sont mises à jour en quasi temps réel, mais les scores et les états le sont toutes les 24 heures. La liste des entités concernées est mise à jour dans les quelques minutes suivant la mise en œuvre des recommandations, mais la mise à jour de l’état peut prendre un certain temps avant qu’il ne soit signalé comme Terminé.
Les rapports affichent les entités affectées au cours des 30 derniers jours. Après cette période, les entités qui ne sont plus concernées sont retirées de la liste des entités exposées.