Delen via

Beveiligingsevaluatie: te veel machtigingen voor certificaatsjablonen bewerken met bevoegde EKU (Any purpose EKU or No EKU) (ESC2) (Preview)

  • Artikel

In dit artikel wordt het overly-permissieve certificaatsjabloon van Microsoft Defender for Identity beschreven met het beoordelingsrapport van de bevoegde EKU-beveiligingspostuur .

Wat is een te ruime certificaatsjabloon met bevoorrechte EKU?

Digitale certificaten spelen een essentiële rol bij het tot stand brengen van vertrouwen en het behouden van integriteit binnen een organisatie. Dit geldt niet alleen voor Kerberos-domeinverificatie, maar ook op andere gebieden, zoals code-integriteit, serverintegriteit en technologieën die afhankelijk zijn van certificaten zoals Active Directory Federation Services (AD FS) en IPSec.

Wanneer een certificaatsjabloon geen EKU's heeft of een Any Purpose EKU heeft en deze kan worden ingeschreven voor elke onbevoegde gebruiker, kunnen certificaten die op basis van die sjabloon zijn uitgegeven, kwaadwillend worden gebruikt door een kwaadwillende persoon, waardoor het vertrouwen in gevaar komt.

Hoewel het certificaat niet kan worden gebruikt voor het imiteren van gebruikersverificatie, maakt het inbreuk op andere onderdelen die digitale certificaten voor hun vertrouwensmodel verlichten. Kwaadwillende personen kunnen TLS-certificaten maken en elke website imiteren.

Hoe kan ik deze beveiligingsevaluatie gebruiken om mijn beveiligingspostuur van mijn organisatie te verbeteren?

  1. Bekijk de aanbevolen actie voor https://security.microsoft.com/securescore?viewid=actions te veel machtigingen voor certificaatsjablonen met een bevoegde EKU. Voorbeeld:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Onderzoek waarom de sjablonen een bevoegde EKU hebben.

  3. U kunt het probleem als volgt oplossen:

    • Beperk de overschrijdingsmachtigingen van de sjabloon.
    • Dwing indien mogelijk extra oplossingen af, zoals het toevoegen van goedkeurings - en ondertekeningsvereisten voor Manager.

Zorg ervoor dat u uw instellingen in een gecontroleerde omgeving test voordat u ze inschakelt in productie.

Notitie

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.

In de rapporten worden de betrokken entiteiten van de afgelopen 30 dagen weergegeven. Na die tijd worden entiteiten die niet meer worden beïnvloed, verwijderd uit de lijst met weergegeven entiteiten.

Volgende stappen