次の方法で共有

セキュリティ評価: 正しく構成されていない証明書テンプレート ACL (ESC4) を編集する (プレビュー)

  • [アーティクル]

この記事では、Microsoft Defender for Identity の正しく構成されていない証明書テンプレート ACL セキュリティ体制評価レポートについて説明します。

正しく構成されていない証明書テンプレート ACL とは

証明書テンプレートは、オブジェクトへのアクセスを制御する ACL を持つ Active Directory オブジェクトです。 ACL は、登録アクセス許可の決定に加えて、オブジェクト自体を編集するためのアクセス許可も決定します。

何らかの理由で、テンプレート設定の変更を許可するアクセス許可を持つ組み込みの特権のないグループを付与するエントリが ACL に存在する場合、敵対者はテンプレートの構成ミスを発生させ、特権をエスカレートし、全体を侵害する可能性がありますメイン。

組み込みの特権のないグループの例としては、認証済みユーザー、Doメイン ユーザー、Everyone があります。 テンプレート設定の変更を許可するアクセス許可の例として、フル コントロールまたは書き込み DACL があります

このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。

  1. 正しく構成されていない証明書テンプレート ACL に関して推奨されるアクション https://security.microsoft.com/securescore?viewid=actions を確認します。 次に例を示します。

    Screenshot of the Edit misconfigured certificate templates ACL (ESC4) recommendation.

  2. テンプレート ACL が正しく構成されていない理由を調べる。

  3. テンプレートの改ざんを許可する特権のないグループアクセス許可を付与するエントリを削除して、問題を修復します。

  4. 証明書テンプレートが不要な場合は、CA によって発行されないようにします。

運用環境で有効にする前に、制御された環境で設定をテストしてください。

Note

評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。

レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。

次のステップ