Biztonsági értékelés: Helytelenül konfigurált hitelesítésszolgáltatói ACL (ESC7) szerkesztése (előzetes verzió)
Ez a cikk a Microsoft Defender for Identity helytelenül konfigurált hitelesítésszolgáltatói ACL biztonsági helyzetértékelési jelentését ismerteti.
Mi a helytelenül konfigurált hitelesítésszolgáltatói ACL?
A hitelesítésszolgáltatók olyan hozzáférés-vezérlési listákat (ACL-eket) tartanak fenn, amelyek a hitelesítésszolgáltató szerepköreit és engedélyeit ismertetik. Ha a hozzáférés-vezérlés nincs megfelelően konfigurálva, bármely felhasználó számára engedélyezhető, hogy megzavarja a hitelesítésszolgáltató beállításait, megkerülje a biztonsági intézkedéseket, és potenciálisan veszélyeztetje a teljes tartományt.
A helytelenül konfigurált ACL hatása az alkalmazott engedély típusától függően változik. Például:
- Ha egy nem jogosult felhasználó rendelkezik a Tanúsítványok kezelése joggal, jóváhagyhatja a függőben lévő tanúsítványkéréseket, megkerülve a Kezelő jóváhagyási követelményét.
- A hitelesítésszolgáltató kezelésével a felhasználó módosíthatja a hitelesítésszolgáltató beállításait, például hozzáadhatja a Felhasználó által megadott SAN-jelzőt (
EDITF_ATTRIBUTESUBJECTALTNAME2
), és mesterséges konfigurációt hozhat létre, amely később teljes tartománysértést eredményezhet.
Előfeltételek
Ez az értékelés csak azoknak az ügyfeleknek érhető el, akik egy érzékelőt telepítettek egy AD CS-kiszolgálón. További információ: Az Active Directory Tanúsítványszolgáltatások (AD CS) új érzékelőtípusa.
Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?
Tekintse át a javasolt műveletet a https://security.microsoft.com/securescore?viewid=actions helytelenül konfigurált hitelesítésszolgáltatói ACL-ek esetében. Például:
Annak vizsgálata, hogy a CA ACL miért van helytelenül konfigurálva.
A problémák elhárításához távolítsa el azokat az engedélyeket, amelyek a hitelesítésszolgáltatói és/vagy a tanúsítványkezelési engedélyekkel rendelkező, nem megfelelő beépített csoportokat biztosítanak.
Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.
Megjegyzés:
Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.
A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.