Share via

Biztonsági értékelés: Helytelenül konfigurált hitelesítésszolgáltatói ACL (ESC7) szerkesztése (előzetes verzió)

  • Cikk

Ez a cikk a Microsoft Defender for Identity helytelenül konfigurált hitelesítésszolgáltatói ACL biztonsági helyzetértékelési jelentését ismerteti.

Mi a helytelenül konfigurált hitelesítésszolgáltatói ACL?

A hitelesítésszolgáltatók olyan hozzáférés-vezérlési listákat (ACL-eket) tartanak fenn, amelyek a hitelesítésszolgáltató szerepköreit és engedélyeit ismertetik. Ha a hozzáférés-vezérlés nincs megfelelően konfigurálva, bármely felhasználó számára engedélyezhető, hogy megzavarja a hitelesítésszolgáltató beállításait, megkerülje a biztonsági intézkedéseket, és potenciálisan veszélyeztetje a teljes tartományt.

A helytelenül konfigurált ACL hatása az alkalmazott engedély típusától függően változik. Például:

  • Ha egy nem jogosult felhasználó rendelkezik a Tanúsítványok kezelése joggal, jóváhagyhatja a függőben lévő tanúsítványkéréseket, megkerülve a Kezelő jóváhagyási követelményét.
  • A hitelesítésszolgáltató kezelésével a felhasználó módosíthatja a hitelesítésszolgáltató beállításait, például hozzáadhatja a Felhasználó által megadott SAN-jelzőt (EDITF_ATTRIBUTESUBJECTALTNAME2), és mesterséges konfigurációt hozhat létre, amely később teljes tartománysértést eredményezhet.

Előfeltételek

Ez az értékelés csak azoknak az ügyfeleknek érhető el, akik egy érzékelőt telepítettek egy AD CS-kiszolgálón. További információ: Az Active Directory Tanúsítványszolgáltatások (AD CS) új érzékelőtípusa.

Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?

  1. Tekintse át a javasolt műveletet a https://security.microsoft.com/securescore?viewid=actions helytelenül konfigurált hitelesítésszolgáltatói ACL-ek esetében. Például:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. Annak vizsgálata, hogy a CA ACL miért van helytelenül konfigurálva.

  3. A problémák elhárításához távolítsa el azokat az engedélyeket, amelyek a hitelesítésszolgáltatói és/vagy a tanúsítványkezelési engedélyekkel rendelkező, nem megfelelő beépített csoportokat biztosítanak.

Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.

Megjegyzés:

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.

A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.

További lépések