Avaliação de segurança: Editar ACL da Autoridade de Certificação (ESC7) mal configurada (Visualização)

  • Artigo

Este artigo descreve o relatório de avaliação de postura de segurança da ACL da autoridade de certificação mal configurada do Microsoft Defender for Identity.

O que é uma ACL de Autoridade de Certificação mal configurada?

As autoridades de certificação (CAs) mantêm listas de controle de acesso (ACLs) que descrevem funções e permissões para a autoridade de certificação. Se o controle de acesso não estiver configurado corretamente, qualquer usuário poderá ter permissão para interferir nas configurações da autoridade de certificação, contornando as medidas de segurança e potencialmente comprometendo todo o domínio.

O efeito de uma ACL mal configurada varia de acordo com o tipo de permissão aplicada. Por exemplo:

  • Se um usuário sem privilégios tiver o direito Gerenciar certificados, ele poderá aprovar solicitações de certificado pendentes, ignorando o requisito de aprovação do gerente.
  • Com o direito Gerenciar autoridade de certificação, o usuário pode modificar as configurações da autoridade de certificação, como adicionar o sinalizador Usuário especifica SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), criando uma configuração incorreta artificial que pode mais tarde levar a um comprometimento completo do domínio.

Pré-requisitos

Essa avaliação está disponível apenas para clientes que instalaram um sensor em um servidor AD CS. Para obter mais informações, consulte Novo tipo de sensor para os Serviços de Certificados do Ative Directory (AD CS).

Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para ACLs da Autoridade de Certificação configuradas incorretamente. Por exemplo:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. Pesquise por que a ACL da autoridade de certificação está configurada incorretamente.

  3. Corrija os problemas removendo todas as permissões que concedem a grupos internos sem privilégios com permissões Gerenciar CA e/ou Gerenciar certificados .

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Nota

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que não forem mais afetadas serão removidas da lista de entidades expostas.

Próximos passos