Beveiligingsevaluatie: Onveilige ADCS-certificaatinschrijving IIS-eindpunten (ESC8) bewerken
In dit artikel wordt het beoordelingsrapport over de beveiligingspostuurbeoordelingspostuur van Microsoft Defender for Identity beschreven in Microsoft Defender for Identity Edit insecure ADCS-certificaatinschrijving iis-eindpunten .
Wat zijn onveilige IIS-eindpunten voor AD CS-certificaatinschrijving?
Active Directory Certificate Services (AD CS) ondersteunt certificaatinschrijving via verschillende methoden en protocollen, waaronder inschrijving via HTTP met behulp van de CERTIFICATE Enrollment Service (CES) of de webinschrijvingsinterface (Certsrv).
Als het IIS-eindpunt NTLM-verificatie toestaat zonder protocolondertekening (HTTPS) af te dwingen of zonder extended protection voor verificatie (EPA) af te dwingen, wordt het kwetsbaar voor NTLM Relay-aanvallen (ESC8). Relay-aanvallen kunnen leiden tot volledige overname van domeinen als een aanvaller erin slaagt om het uit te trekken.
Vereisten
Deze evaluatie is alleen beschikbaar voor klanten die een sensor op een AD CS-server hebben geïnstalleerd. Zie Sensoren configureren voor AD FS en AD CS voor meer informatie.
Hoe kan ik deze beveiligingsevaluatie gebruiken om mijn beveiligingspostuur van mijn organisatie te verbeteren?
Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor onveilige IIS-eindpunten voor AD CS-certificaatinschrijving.
De evaluatie bevat de problematische HTTP-eindpunten in uw organisatie en richtlijnen voor het veilig configureren van de eindpunten.
Zodra dit is afgehandeld, wordt het esc8-aanvalsrisico beperkt, waardoor uw kwetsbaarheid voor aanvallen aanzienlijk wordt verminderd.
Notitie
Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.
In de rapporten worden de betrokken entiteiten van de afgelopen 30 dagen weergegeven. Na die tijd worden entiteiten die niet meer worden beïnvloed, verwijderd uit de lijst met weergegeven entiteiten.