Valutazione della sicurezza: modificare un modello di certificato eccessivamente permissivo con privilegi EKU (Qualsiasi scopo EKU o No EKU) (ESC2) (anteprima)

  • Articolo

Questo articolo descrive il modello di certificato eccessivamente permissivo di Microsoft Defender per identità con il report di valutazione del comportamento di sicurezza EKU con privilegi.

Che cos'è un modello di certificato eccessivamente permissivo con EKU con privilegi?

I certificati digitali svolgono un ruolo fondamentale nella definizione della fiducia e del mantenimento dell'integrità in un'organizzazione. Questo vale non solo nell'autenticazione del dominio Kerberos, ma anche in altre aree, ad esempio l'integrità del codice, l'integrità del server e le tecnologie che si basano su certificati come Active Directory Federation Services (AD FS) e IPSec.

Quando un modello di certificato non ha EKU o ha un EKU qualsiasi scopo ed è registrabile per qualsiasi utente senza privilegi, i certificati rilasciati in base a tale modello possono essere usati in modo dannoso da un avversario, compromettendo l'attendibilità.

Anche se il certificato non può essere usato per rappresentare l'autenticazione utente, compromette altri componenti che eliminano i certificati digitali per il modello di attendibilità. Gli avversari possono creare certificati TLS e rappresentare qualsiasi sito Web.

Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?

  1. Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per i modelli di certificato eccessivamente permissivi con un EKU con privilegi. Ad esempio:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Ricercare il motivo per cui i modelli hanno un EKU con privilegi.

  3. Correggere il problema eseguendo le operazioni seguenti:

    • Limitare le autorizzazioni eccessivamente permissive del modello.
    • Applicare mitigazioni aggiuntive, ad esempio l'aggiunta di requisiti di approvazione e firma del manager, se possibile.

Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.

Nota

Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.

I report mostrano le entità interessate degli ultimi 30 giorni. Dopo tale periodo, le entità non interessate verranno rimosse dall'elenco delle entità esposte.

Passaggi successivi