Udostępnij za pośrednictwem

Ocena zabezpieczeń: Edytowanie nieprawidłowo skonfigurowanych szablonów certyfikatów listy ACL (ESC4) (wersja zapoznawcza)

  • Artykuł

W tym artykule opisano raport oceny stanu zabezpieczeń listy kontroli zabezpieczeń listy ACL w usłudze Microsoft Defender for Identity z błędną konfiguracją szablonu certyfikatu.

Co to jest nieprawidłowo skonfigurowana lista ACL szablonu certyfikatu?

Szablony certyfikatów to obiekty usługi Active Directory z listą ACL kontrolującą dostęp do obiektu. Oprócz określania uprawnień rejestracji lista ACL określa również uprawnienia do edytowania samego obiektu.

Jeśli z jakiegoś powodu istnieje wpis w liście ACL, który przyznaje wbudowaną, nieuprzywilejowaną grupę z uprawnieniami, które umożliwiają zmianę ustawień szablonu, atakujący może wprowadzić błędną konfigurację szablonu, eskalować uprawnienia i naruszyć całą domenę.

Przykłady wbudowanych, nieuprzywilejowanych grup to Uwierzytelnieni użytkownicy, Użytkownicy domeny lub Wszyscy. Przykłady uprawnień, które zezwalają na zmiany ustawień szablonu, to Pełna kontrola lub Lista DACL zapisu.

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić poziom zabezpieczeń organizacji?

  1. Zapoznaj się z zalecaną akcją w sekcji https://security.microsoft.com/securescore?viewid=actions dotyczącej błędnie skonfigurowanego listy ACL szablonu certyfikatu. Na przykład:

    Screenshot of the Edit misconfigured certificate templates ACL (ESC4) recommendation.

  2. Zbadaj, dlaczego lista ACL szablonu może być nieprawidłowo skonfigurowana.

  3. Rozwiązanie problemu przez usunięcie dowolnego wpisu, który przyznaje nieuprzywilejowane uprawnienia grupy, które umożliwiają manipulowanie szablonem.

  4. Jeśli nie są potrzebne, usuń szablon certyfikatu z publikowania przez dowolny urząd certyfikacji.

Pamiętaj, aby przetestować ustawienia w kontrolowanym środowisku przed włączeniem ich w środowisku produkcyjnym.

Uwaga

Chociaż oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Chociaż lista jednostek, których dotyczy ten wpływ, zostanie zaktualizowana w ciągu kilku minut od wdrożenia zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Raporty pokazują jednostki, których dotyczy problem z ostatnich 30 dni. Po tym czasie jednostki, których nie dotyczy problem, zostaną usunięte z listy uwidocznionych jednostek.

Następne kroki