Share via

Biztonsági értékelés: Túlzottan megengedő tanúsítványsablon szerkesztése kiemelt termékváltozattal (bármilyen célú EKU vagy EKU nélkül) (ESC2) (előzetes verzió)

  • Cikk

Ez a cikk a Microsoft Defender for Identity túlzottan megengedő tanúsítványsablonját ismerteti kiemelt EKU biztonsági helyzetértékelési jelentéssel.

Mi az a túlzottan megengedő tanúsítványsablon, amely kiemelt EKU-val rendelkezik?

A digitális tanúsítványok nélkülözhetetlen szerepet játszanak a bizalom kialakításában és az integritás megőrzésében a szervezetben. Ez nem csak a Kerberos-tartományhitelesítésben, hanem más területeken is igaz, például a kódintegritást, a kiszolgálói integritást és az olyan tanúsítványokat használó technológiákra, mint az Active Directory összevonási szolgáltatások (AD FS) (AD FS) és az IPSec.

Ha egy tanúsítványsablon nem rendelkezik EKU-val, vagy bármilyen célú EKU-val rendelkezik, és bármely nem jogosult felhasználó számára regisztrálható, az ezen a sablonon alapuló tanúsítványokat rosszindulatúan használhatja egy támadó, veszélyeztető megbízhatósági kapcsolat.

Annak ellenére, hogy a tanúsítvány nem használható a felhasználói hitelesítés megszemélyesítéséhez, a megbízhatósági modell digitális tanúsítványait mentesítő egyéb összetevőket is veszélyeztet. A támadók TLS-tanúsítványokat készíthetnek, és bármilyen webhelyet megszemélyesíthetnek.

Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?

  1. Tekintse át a javasolt műveletet https://security.microsoft.com/securescore?viewid=actions a kiemelt EKU-val rendelkező, túlzottan megengedő tanúsítványsablonok esetében. Például:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Annak vizsgálata, hogy a sablonok miért rendelkeznek kiemelt termékváltozatgal.

  3. A probléma megoldásához tegye a következőket:

    • Korlátozza a sablon túlzottan megengedő engedélyeit.
    • Szükség esetén további kockázatcsökkentéseket is érvényesíthet, például ha lehetséges, vezetői jóváhagyási és aláírási követelményeket adhat hozzá.

Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.

Megjegyzés:

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.

A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.

További lépések