보안 평가: 권한 있는 EKU를 사용하여 지나치게 허용되는 인증서 템플릿 편집(모든 용도 EKU 또는 EKU 없음)(ESC2)(미리 보기)
이 문서에서는 권한 있는 EKU 보안 태세 평가 보고서가 있는 Id용 Microsoft Defender의 지나치게 허용되는 인증서 템플릿에 대해 설명합니다.
권한 있는 EKU를 사용하는 지나치게 허용되는 인증서 템플릿이란?
디지털 인증서는 조직 전체에서 신뢰를 구축하고 무결성을 유지하는 데 중요한 역할을 합니다. 이는 Kerberos do기본 인증뿐만 아니라 코드 무결성, 서버 무결성 및 AD FS(Active Directory Federation Services) 및 IPSec과 같은 인증서를 사용하는 기술과 같은 다른 영역에서도 마찬가지입니다.
인증서 템플릿에 EKU 가 없거나 모든 용도 EKU가 있고 권한 없는 사용자에 대해 등록할 수 있는 경우 해당 템플릿을 기반으로 발급된 인증서는 악의적인 사용자가 악의적으로 사용하여 신뢰를 손상할 수 있습니다.
인증서는 사용자 인증을 가장하는 데 사용할 수 없지만 신뢰 모델에 대한 디지털 인증서를 완화하는 다른 구성 요소를 손상합니다. 악의적 사용자는 TLS 인증서를 만들고 모든 웹 사이트를 가장할 수 있습니다.
이 보안 평가를 사용하여 조직의 보안 상태를 개선할 어떻게 할까요? 있나요?
권한 있는 EKU를 사용하여 지나치게 허용되는 인증서 템플릿에 대해 권장되는 작업을 https://security.microsoft.com/securescore?viewid=actions 검토합니다. 예시:
템플릿에 권한 있는 EKU가 있는 이유를 조사합니다.
다음을 수행하여 문제를 해결합니다.
- 템플릿의 지나치게 허용되는 권한을 제한합니다.
- 가능한 경우 관리자 승인 추가 및 서명 요구 사항과 같은 추가 완화를 적용합니다.
프로덕션 환경에서 설정을 켜기 전에 제어된 환경에서 설정을 테스트해야 합니다.
참고 항목
평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.
보고서에는 지난 30일 동안의 영향을 받는 엔터티가 표시됩니다. 이 시간 이후에는 더 이상 영향을 받지 않는 엔터티가 노출된 엔터티 목록에서 제거됩니다.