次の方法で共有

セキュリティ評価: 正しく構成されていない証明機関 ACL (ESC7) を編集する (プレビュー)

  • [アーティクル]

この記事では、Microsoft Defender for Identity の正しく構成されていない証明機関の ACL セキュリティ体制評価レポートについて説明します。

正しく構成されていない証明機関 ACL とは

証明機関 (CA) メイン CA のロールとアクセス許可の概要を示すアクセス制御リスト (ACL) が含まれます。 アクセス制御が正しく構成されていない場合、すべてのユーザーが CA 設定に干渉し、セキュリティ対策を回避し、全体を侵害する可能性がありますメイン。

正しく構成されていない ACL の影響は、適用されるアクセス許可の種類によって異なります。 次に例を示します。

  • 特権のないユーザーが証明書の管理権限を保持している場合は、保留中の証明書要求を承認し、マネージャーの承認要件をバイパスできます。
  • ユーザーは、CA の管理権限を使用して、ユーザーが SAN フラグをEDITF_ATTRIBUTESUBJECTALTNAME2指定 () を追加するなど、CA 設定を変更し、後で完全な実行メイン侵害につながる可能性のある人工構成の誤りを作成できます。

前提条件

この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが利用できます。 詳細については、「Active Directory 証明書サービス (AD CS) の新しいセンサーの種類」を参照してください

このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。

  1. 証明書機関の ACL が正しく構成されていない場合は、推奨されるアクション https://security.microsoft.com/securescore?viewid=actions を確認します。 次に例を示します。

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. CA ACL が正しく構成されていない理由を調べる。

  3. 特権のない組み込みグループ に対して CA の管理または 証明書 の管理アクセス許可を付与するすべてのアクセス許可を削除して、問題を修復します。

運用環境で有効にする前に、制御された環境で設定をテストしてください。

Note

評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。

レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。

次のステップ