Bagikan melalui

Penilaian keamanan: Edit templat sertifikat yang terlalu permisif dengan EKU istimewa (EKU tujuan apa pun atau Tanpa EKU) (ESC2) (Pratinjau)

  • Artikel

Artikel ini menjelaskan templat sertifikat yang terlalu permisif Microsoft Defender untuk Identitas dengan laporan penilaian postur keamanan EKU istimewa.

Apa itu templat sertifikat yang terlalu permisif dengan EKU istimewa?

Sertifikat digital memainkan peran penting dalam membangun kepercayaan dan mempertahankan integritas di seluruh organisasi. Ini berlaku tidak hanya dalam autentikasi domain Kerberos, tetapi juga di area lain, seperti integritas kode, integritas server, dan teknologi yang mengandalkan sertifikat seperti Layanan Federasi Direktori Aktif (AD FS) dan IPSec.

Ketika templat sertifikat tidak memiliki EKUs atau memiliki EKU Tujuan Apa Pun, dan dapat didaftarkan untuk pengguna yang tidak memiliki hak istimewa, sertifikat yang dikeluarkan berdasarkan templat tersebut dapat digunakan dengan berbahaya oleh iklan, mengorbankan kepercayaan.

Meskipun sertifikat tidak dapat digunakan untuk meniru autentikasi pengguna, sertifikat tersebut membahayakan komponen lain yang meringankan sertifikat digital untuk model kepercayaan mereka. Adversaries dapat membuat sertifikat TLS dan meniru situs web apa pun.

Bagaimana cara menggunakan penilaian keamanan ini untuk meningkatkan postur keamanan organisasi saya?

  1. Tinjau tindakan yang direkomendasikan di https://security.microsoft.com/securescore?viewid=actions untuk templat sertifikat yang terlalu permisif dengan EKU istimewa. Misalnya:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Teliti mengapa templat memiliki EKU istimewa.

  3. Remediasi masalah dengan melakukan hal berikut:

    • Batasi izin templat yang terlalu permisif.
    • Terapkan mitigasi tambahan seperti menambahkan persetujuan Manajer dan persyaratan penandatanganan jika memungkinkan.

Pastikan untuk menguji pengaturan Anda di lingkungan terkontrol sebelum mengaktifkannya dalam produksi.

Catatan

Meskipun penilaian diperbarui mendekati real time, skor dan status diperbarui setiap 24 jam. Meskipun daftar entitas yang terkena dampak diperbarui dalam beberapa menit setelah Anda menerapkan rekomendasi, status mungkin masih membutuhkan waktu hingga ditandai sebagai Selesai.

Laporan menunjukkan entitas yang terpengaruh dari 30 hari terakhir. Setelah itu, entitas yang tidak lagi terpengaruh akan dihapus dari daftar entitas yang terekspos.

Langkah berikutnya