보안 평가: 안전하지 않은 ADCS 인증서 등록 IIS 엔드포인트 편집(ESC8)
이 문서에서는 Microsoft Defender for Identity의 안전하지 않은 ADCS 인증서 등록 IIS 엔드포인트 ID 보안 상태 평가 보고서에 대해 설명합니다 .
안전하지 않은 AD CS 인증서 등록 IIS 엔드포인트란?
AD CS(Active Directory Certificate Services)는 CES(인증서 등록 서비스) 또는 Certsrv(웹 등록 인터페이스)를 사용하는 HTTP를 통한 등록을 포함하여 다양한 방법 및 프로토콜을 통해 인증서 등록을 지원합니다.
IIS 엔드포인트가 프로토콜 서명(HTTPS)을 적용하지 않거나 EPA(Extended Protection for Authentication)를 적용하지 않고 NTLM 인증을 허용하는 경우 NTLM 릴레이 공격(ESC8)에 취약해집니다. 릴레이 공격은 공격자가 성공적으로 제거하도록 관리하는 경우 완료된 do기본 인수로 이어질 수 있습니다.
필수 조건
이 평가는 AD CS 서버에 센서를 설치한 고객만 사용할 수 있습니다. 자세한 내용은 AD FS 및 AD CS에 대한 센서 구성을 참조하세요.
이 보안 평가를 사용하여 조직의 보안 상태를 개선할 어떻게 할까요? 있나요?
안전하지 않은 AD CS 인증서 등록 IIS 엔드포인트에 대한 권장 작업을 https://security.microsoft.com/securescore?viewid=actions 검토합니다.
평가는 조직의 문제가 있는 HTTP 엔드포인트와 엔드포인트를 안전하게 구성하기 위한 지침을 나열합니다.
일단 처리되면 ESC8 공격 위험이 완화되어 공격 노출 영역이 크게 줄어듭니다.
참고 항목
평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.
보고서에는 지난 30일 동안의 영향을 받는 엔터티가 표시됩니다. 이 시간 이후에는 더 이상 영향을 받지 않는 엔터티가 노출된 엔터티 목록에서 제거됩니다.