Valutazione della sicurezza: Modificare l'ACL dell'autorità di certificazione (ESC7) (anteprima)

  • Articolo

Questo articolo descrive il report di valutazione del comportamento di sicurezza dell'autorità di certificazione ACL configurato in modo errato dell'autorità di certificazione di Microsoft Defender per identità.

Che cos'è un elenco di controllo di accesso dell'autorità di certificazione non configurato correttamente?

Le autorità di certificazione mantengono gli elenchi di controllo di accesso (ACL) che delineano ruoli e autorizzazioni per la CA. Se il controllo di accesso non è configurato correttamente, qualsiasi utente potrebbe essere autorizzato a interferire con le impostazioni della CA, aggirare le misure di sicurezza e potenzialmente compromettere l'intero dominio.

L'effetto di un ACL configurato in modo errato varia in base al tipo di autorizzazione applicata. Ad esempio:

  • Se un utente senza privilegi ha il diritto Gestisci certificati , può approvare le richieste di certificato in sospeso, ignorando il requisito di approvazione del manager.
  • Con il diritto Gestisci CA , l'utente può modificare le impostazioni della CA, ad esempio aggiungendo l'utente specifica il flag SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), creando una configurazione errata artificiale che in un secondo momento potrebbe causare una compromissione completa del dominio.

Prerequisiti

Questa valutazione è disponibile solo per i clienti che hanno installato un sensore in un server servizi certificati Active Directory. Per altre informazioni, vedere Nuovo tipo di sensore per Servizi certificati Active Directory.For more information, see New sensor type for Active Directory Certificate Services (AD CS).

Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?

  1. Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per gli ACL dell'autorità di certificazione configurati in modo errato. Ad esempio:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. Ricerca sul motivo per cui l'ACL della CA non è configurato correttamente.

  3. Risolvere i problemi rimuovendo tutte le autorizzazioni che concedono gruppi predefiniti senza privilegi con le autorizzazioni Gestisci CA e/o Gestisci certificati .

Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.

Nota

Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.

I report mostrano le entità interessate degli ultimi 30 giorni. Dopo tale periodo, le entità non interessate verranno rimosse dall'elenco delle entità esposte.

Passaggi successivi