Olvasás angol nyelven

Megosztás a következőn keresztül:


Biztonsági értékelés: Helytelenül konfigurált hitelesítésszolgáltató ACL (ESC7) szerkesztése

Ez a cikk Microsoft Defender for Identity helytelenül konfigurált hitelesítésszolgáltató ACL biztonsági helyzetértékelési jelentését ismerteti.

Mi az a helytelenül konfigurált hitelesítésszolgáltatói ACL?

A hitelesítésszolgáltatók (CA-k) olyan hozzáférés-vezérlési listákat (ACL-eket) vezetnek, amelyek tagolják a hitelesítésszolgáltató szerepköreit és engedélyeit. Ha a hozzáférés-vezérlés nincs megfelelően konfigurálva, előfordulhat, hogy bármely felhasználó zavarhatja a hitelesítésszolgáltató beállításait, megkerülheti a biztonsági intézkedéseket, és potenciálisan veszélyeztetheti a teljes tartományt.

A helytelenül konfigurált ACL hatása az alkalmazott engedély típusától függ. Például:

  • Ha egy nem jogosultságokkal rendelkező felhasználó rendelkezik a Tanúsítványok kezelése jogosultságokkal, jóváhagyhatja a függőben lévő tanúsítványkérelmeket, megkerülve a felettesi jóváhagyási követelményt.
  • A Hitelesítésszolgáltató kezelése jogosultsággal a felhasználó módosíthatja a hitelesítésszolgáltató beállításait, például hozzáadhatja a Felhasználó san jelzőt (EDITF_ATTRIBUTESUBJECTALTNAME2), és olyan mesterséges konfigurációt hozhat létre, amely később teljes tartománysértést eredményezhet.

Előfeltételek

Ez az értékelés csak azoknak az ügyfeleknek érhető el, akik érzékelőt telepítettek egy AD CS-kiszolgálóra. További információ: Új érzékelőtípus az Active Directory tanúsítványszolgáltatásokhoz (AD CS).

Hogyan ezzel a biztonsági értékeléssel javíthatom a szervezeti biztonsági állapotomat?

  1. Tekintse át az ajánlott műveletet a következő helyen https://security.microsoft.com/securescore?viewid=actions : helytelenül konfigurált hitelesítésszolgáltatóICL-ek. Például:

    Képernyőkép a helytelenül konfigurált hitelesítésszolgáltatóI ACL (ESC7) szerkesztésére vonatkozó javaslatról.

  2. Annak kutatása, hogy a CA ACL miért van helytelenül konfigurálva.

  3. Hárítsa el a problémákat az összes olyan engedély eltávolításával, amely jogosultsággal nem rendelkező beépített csoportokat biztosít hitelesítésszolgáltatói és/vagy tanúsítványkezelő engedélyekkel.

Mielőtt éles környezetben bekapcsolná őket, mindenképpen tesztelje a beállításokat egy ellenőrzött környezetben.

Megjegyzés

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.

Következő lépések