セキュリティ評価: セキュリティで保護されていない ADCS 証明書登録 IIS エンドポイントの編集 (ESC8)

この記事では、Microsoft Defender for Identity の ID セキュリティ態勢評価レポート "セキュリティで保護されていない ADCS 証明書登録 IIS エンドポイントの編集" について説明します。

セキュリティで保護されていない AD CS 証明書登録 IIS エンドポイントとは?

Active Directory 証明書サービス (AD CS) では、証明書登録サービス (CES) または Web 登録インターフェイス (Certsrv) を使用した HTTP 経由の登録など、さまざまな方法とプロトコルによる証明書の登録がサポートされています。

IIS エンドポイントでプロトコル署名 (HTTPS) または認証の拡張保護 (EPA) が適用されずに NTLM 認証が許可されていると、NTLM リレー攻撃 (ESC8) に対して脆弱になります。 リレー攻撃は、攻撃者が成功すれば、ドメインの完全な乗っ取りにつながる可能性があります。

前提条件

この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが利用できます。 詳細については、「AD FS と AD CS のセンサーを構成する」を参照してください。

このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。

セキュリティで保護されていない AD CS 証明書登録 IIS エンドポイントに関して推奨されるアクションを https://security.microsoft.com/securescore?viewid=actions でご確認ください。

評価には、組織内の問題のある HTTP エンドポイントと、エンドポイントを安全に構成するためのガイダンスが一覧表示されます。

処理が完了すると、ESC8 攻撃リスクが軽減され、攻撃対象領域が大幅に減少します。

Note

評価はほぼリアルタイムで更新されますが、スコアと状態の更新は 24 時間ごとです。 影響を受けるエンティティの一覧は、レコメンデーションを実装してから数分以内に更新されますが、状態が完了としてマークされるには時間がかかる場合があります。

レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。

次のステップ

• Microsoft Secure スコアの詳細情報
• Defender for Identity フォーラムをご覧ください