Avaliação de segurança: edite um modelo de certificado excessivamente permissivo com EKU privilegiado (EKU de qualquer finalidade ou sem EKU) (ESC2) (Visualização)

  • Artigo

Este artigo descreve o modelo de certificado excessivamente permissivo do Microsoft Defender for Identity com relatório de avaliação de postura de segurança EKU privilegiado.

O que é um modelo de certificado excessivamente permissivo com EKU privilegiado?

Os certificados digitais desempenham um papel vital no estabelecimento de confiança e na preservação da integridade em toda a organização. Isso é verdade não apenas na autenticação de domínio Kerberos, mas também em outras áreas, como integridade de código, integridade do servidor e tecnologias que dependem de certificados como os Serviços de Federação do Ative Directory (AD FS) e IPSec.

Quando um modelo de certificado não tem EKUs ou tem um EKU de Qualquer Finalidade, e é inscrito para qualquer usuário sem privilégios, os certificados emitidos com base nesse modelo podem ser usados maliciosamente por um adversário, comprometendo a confiança.

Embora o certificado não possa ser usado para representar a autenticação do usuário, ele compromete outros componentes que aliviam os certificados digitais para seu modelo de confiança. Os adversários podem criar certificados TLS e se passar por qualquer site.

Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para modelos de certificado excessivamente permissivos com um EKU privilegiado. Por exemplo:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Pesquise por que os modelos têm um EKU privilegiado.

  3. Corrija o problema fazendo o seguinte:

    • Restrinja as permissões excessivamente permissivas do modelo.
    • Imponha mitigações extras, como adicionar requisitos de aprovação e assinatura do gerente, se possível.

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Nota

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que não forem mais afetadas serão removidas da lista de entidades expostas.

Próximos passos