Compartilhar via

Avaliação de segurança: Editar modelos de certificado configurados incorretamente ACL (ESC4) (Visualização)

  • Artigo

Este artigo descreve o relatório de avaliação de postura de segurança ACL do modelo de certificado configurado incorreto do Microsoft Defender for Identity.

O que é uma ACL de modelo de certificado configurado incorretamente?

Os modelos de certificado são objetos do Active Directory com uma ACL controlando o acesso ao objeto. Além de determinar permissões de registro, a ACL também determina permissões para editar o próprio objeto.

Se, por qualquer motivo, houver uma entrada na ACL que conceda um grupo interno sem privilégios com permissões que permitem alterações na configuração do modelo, um adversário pode introduzir uma configuração incorreta do modelo, escalar privilégios e comprometer todo o domínio.

Exemplos de grupos internos sem privilégios são Usuários autenticados, Usuários de domínio ou Todos. Exemplos de permissões que permitem alterações na configuração do modelo são Controle total ou DACL de gravação.

Como usar essa avaliação de segurança para melhorar minha postura de segurança organizacional?

  1. Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para uma ACL de modelo de certificado configurado incorretamente. Por exemplo:

    Screenshot of the Edit misconfigured certificate templates ACL (ESC4) recommendation.

  2. Pesquise por que a ACL do modelo pode estar configurada incorretamente.

  3. Corrija o problema removendo qualquer entrada que conceda permissões de grupo sem privilégios que permitam adulterar o modelo.

  4. Remova o modelo de certificado de ser publicado por qualquer CA se não for necessário.

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Observação

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades não mais afetadas serão removidas da lista de entidades expostas.

Próximas etapas