Biztonsági értékelés: Helytelenül konfigurált hitelesítésszolgáltató ACL (ESC7) szerkesztése
Cikk
Ez a cikk Microsoft Defender for Identity helytelenül konfigurált hitelesítésszolgáltató ACL biztonsági helyzetértékelési jelentését ismerteti.
Mi az a helytelenül konfigurált hitelesítésszolgáltatói ACL?
A hitelesítésszolgáltatók (CA-k) olyan hozzáférés-vezérlési listákat (ACL-eket) vezetnek, amelyek tagolják a hitelesítésszolgáltató szerepköreit és engedélyeit. Ha a hozzáférés-vezérlés nincs megfelelően konfigurálva, előfordulhat, hogy bármely felhasználó zavarhatja a hitelesítésszolgáltató beállításait, megkerülheti a biztonsági intézkedéseket, és potenciálisan veszélyeztetheti a teljes tartományt.
A helytelenül konfigurált ACL hatása az alkalmazott engedély típusától függ. Például:
Ha egy nem jogosultságokkal rendelkező felhasználó rendelkezik a Tanúsítványok kezelése jogosultságokkal, jóváhagyhatja a függőben lévő tanúsítványkérelmeket, megkerülve a felettesi jóváhagyási követelményt.
A Hitelesítésszolgáltató kezelése jogosultsággal a felhasználó módosíthatja a hitelesítésszolgáltató beállításait, például hozzáadhatja a Felhasználó san jelzőt (EDITF_ATTRIBUTESUBJECTALTNAME2), és olyan mesterséges konfigurációt hozhat létre, amely később teljes tartománysértést eredményezhet.
Annak kutatása, hogy a CA ACL miért van helytelenül konfigurálva.
Hárítsa el a problémákat az összes olyan engedély eltávolításával, amely jogosultsággal nem rendelkező beépített csoportokat biztosít hitelesítésszolgáltatói és/vagy tanúsítványkezelő engedélyekkel.
Mielőtt éles környezetben bekapcsolná őket, mindenképpen tesztelje a beállításokat egy ellenőrzött környezetben.
Megjegyzés
Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.