次の方法で共有

セキュリティ評価: 正しく構成されていない証明書テンプレートの所有者を編集する (ESC4) (プレビュー)

  • [アーティクル]

この記事では、Microsoft Defender for Identity の正しく構成されていない証明書テンプレート所有者 (ESC4) セキュリティ体制評価レポートの概要について説明します。

正しく構成されていない証明書テンプレートの所有者とは

証明書テンプレートは、オブジェクトへのアクセスとオブジェクトを編集する機能を制御する所有者を持つ Active Directory オブジェクトです。

所有者のアクセス許可によって、テンプレート設定の変更を許可する権限を持つ特権のない組み込みのグループが付与されると、敵対者はテンプレートの構成ミスを発生させ、特権をエスカレートし、全体を侵害する可能性がありますメイン。

組み込みの特権のないグループの例としては、認証済みユーザー、Doメイン ユーザー、Everyone があります。 テンプレート設定の変更を許可するアクセス許可の例として、フル コントロールまたは書き込み DACL があります

このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。

  1. 証明書テンプレートの所有者が正しく構成されていない場合は、推奨されるアクション https://security.microsoft.com/securescore?viewid=actions を確認します。 次に例を示します。

    Screenshot of the Edit misconfigured certificate templates owner (ESC4) recommendation.

  2. テンプレート所有者が正しく構成されていない可能性がある理由を調査します。

  3. 所有者を特権のある監視対象ユーザーに変更して、問題を修復します。

運用環境で有効にする前に、制御された環境で設定をテストしてください。

Note

評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。

レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。

次のステップ