Compartilhar via

Avaliação de segurança: Editar ACL de Autoridade de Certificação (ESC7) configurada incorretamente (Visualização)

  • Artigo

Este artigo descreve o relatório de avaliação de postura de segurança ACL de autoridade de certificação não configurada do Microsoft Defender for Identity.

O que é uma ACL de Autoridade de Certificação configurada incorretamente?

As autoridades de certificação (CAs) mantêm listas de controle de acesso (ACLs) que descrevem funções e permissões para a autoridade de certificação. Se o controle de acesso não estiver configurado corretamente, qualquer usuário poderá interferir nas configurações da autoridade de certificação, contornando as medidas de segurança e potencialmente comprometer todo o domínio.

O efeito de uma ACL configurada incorretamente varia com base no tipo de permissão aplicada. Por exemplo:

  • Se um usuário sem privilégios tiver o direito de Gerenciar Certificados, ele poderá aprovar solicitações de certificado pendentes, ignorando o requisito de aprovação do Manager.
  • Com o direito de gerenciar autoridade de certificação, o usuário pode modificar as configurações da autoridade de certificação, como adicionar o sinalizador User especifica SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), criando uma configuração incorreta artificial que pode levar posteriormente a um comprometimento completo do domínio.

Pré-requisitos

Essa avaliação está disponível apenas para clientes que instalaram um sensor em um servidor AD CS. Para obter mais informações, consulte Novo tipo de sensor para os Serviços de Certificados do Active Directory (AD CS).

Como usar essa avaliação de segurança para melhorar minha postura de segurança organizacional?

  1. Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para ACLs de Autoridade de Certificação configuradas incorretamente. Por exemplo:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. Pesquise por que a ACL da ACL está configurada incorretamente.

  3. Corrija os problemas removendo todas as permissões que concedem grupos internos sem privilégios com permissões Gerenciar CA e/ou Gerenciar certificados .

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Observação

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades não mais afetadas serão removidas da lista de entidades expostas.

Próximas etapas