Biztonsági értékelés: Helytelenül konfigurált tanúsítványsablonok szerkesztése ACL (ESC4) (előzetes verzió)
Ez a cikk a Microsoft Defender for Identity helytelenül konfigurált tanúsítványsablonjának ACL biztonsági helyzetértékelési jelentését ismerteti.
Mi az a helytelenül konfigurált tanúsítványsablon ACL?
A tanúsítványsablonok Olyan Active Directory-objektumok, amelyeken egy ACL szabályozza az objektumhoz való hozzáférést. A regisztrációs engedélyek meghatározása mellett az ACL az objektum szerkesztési engedélyeit is meghatározza.
Ha bármilyen okból, van egy bejegyzés az ACL-ben, amely egy beépített, nem hátrányos helyzetű csoportot biztosít olyan engedélyekkel, amelyek lehetővé teszik a sablonbeállítás módosítását, a támadók sablon helytelen konfigurációt vezethetnek be, eszkalálhatják a jogosultságokat, és veszélyeztethetik a teljes tartományt.
A beépített, nem hátrányos helyzetű csoportok például a hitelesített felhasználók, a tartományi felhasználók vagy a Mindenki. A sablonbeállítás-módosításokat lehetővé tevő engedélyekre példa a Teljes hozzáférés vagy a DACL írása.
Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?
Tekintse át a javasolt műveletet https://security.microsoft.com/securescore?viewid=actions egy helytelenül konfigurált tanúsítványsablon ACL-hez. Például:
Annak vizsgálata, hogy az ACL-sablon miért lehet helytelenül konfigurálva.
A probléma megoldásához távolítsa el azokat a bejegyzéseket, amelyek jogosulatlan csoportengedélyeket biztosítanak, amelyek lehetővé teszik a sablonnal való illetéktelen módosítást.
Ha nincs rá szükség, távolítsa el a tanúsítványsablont attól, hogy bármely hitelesítésszolgáltató közzétesse.
Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.
Megjegyzés:
Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.
A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.