Delen via

Beveiligingsevaluatie: Onjuist geconfigureerde certificaatsjablonen bewerken ACL (ESC4) (preview)

  • Artikel

In dit artikel wordt het onjuist geconfigureerde certificaatsjabloon-ACL-evaluatierapport voor beveiligingspostuur van Microsoft Defender for Identity beschreven.

Wat is een onjuist geconfigureerde certificaatsjabloon-ACL?

Certificaatsjablonen zijn Active Directory-objecten met een ACL die de toegang tot het object beheert. Naast het bepalen van inschrijvingsmachtigingen, bepaalt de ACL ook machtigingen voor het bewerken van het object zelf.

Als er om welke reden dan ook een vermelding in de ACL is die een ingebouwde, niet-gemachtigde groep verleent met machtigingen waarmee wijzigingen in de sjabloon kunnen worden ingesteld, kan een kwaadwillende gebruiker een sjabloonfout configureren, bevoegdheden escaleren en het hele domein in gevaar brengen.

Voorbeelden van ingebouwde, niet-gemachtigde groepen zijn geverifieerde gebruikers, domeingebruikers of iedereen. Voorbeelden van machtigingen die wijzigingen in sjablooninstellingen toestaan, zijn Volledig beheer of DACL schrijven.

Hoe kan ik deze beveiligingsevaluatie gebruiken om mijn beveiligingspostuur van mijn organisatie te verbeteren?

  1. Bekijk de aanbevolen actie voor https://security.microsoft.com/securescore?viewid=actions een onjuist geconfigureerde certificaatsjabloon-ACL. Voorbeeld:

    Screenshot of the Edit misconfigured certificate templates ACL (ESC4) recommendation.

  2. Onderzoek waarom de sjabloon-ACL mogelijk onjuist is geconfigureerd.

  3. Los het probleem op door alle vermeldingen te verwijderen die onbevoegde groepsmachtigingen verlenen die manipulatie met de sjabloon toestaan.

  4. Verwijder de certificaatsjabloon van publicatie door een CA als deze niet nodig zijn.

Zorg ervoor dat u uw instellingen in een gecontroleerde omgeving test voordat u ze inschakelt in productie.

Notitie

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.

In de rapporten worden de betrokken entiteiten van de afgelopen 30 dagen weergegeven. Na die tijd worden entiteiten die niet meer worden beïnvloed, verwijderd uit de lijst met weergegeven entiteiten.

Volgende stappen