Compartilhar via


Avaliação de segurança: Edite um modelo de certificado excessivamente permissivo com EKU privilegiado (EKU de qualquer finalidade ou sem EKU) (ESC2) (Visualização)

Este artigo descreve o modelo de certificado excessivamente permissivo do Microsoft Defender for Identity com relatório de avaliação de postura de segurança EKU privilegiado.

O que é um modelo de certificado excessivamente permissivo com EKU privilegiado?

Os certificados digitais desempenham um papel vital no estabelecimento da confiança e na preservação da integridade em toda a organização. Isso é verdadeiro não apenas na autenticação de domínio Kerberos, mas também em outras áreas, como integridade de código, integridade de servidor e tecnologias que dependem de certificados como AD FS (Serviços de Federação do Active Directory) e IPSec.

Quando um modelo de certificado não tem EKUs ou tem um EKU de Qualquer Finalidade e pode ser registrado para qualquer usuário sem privilégios, os certificados emitidos com base nesse modelo podem ser usados maliciosamente por um adversário, comprometendo a confiança.

Embora o certificado não possa ser usado para representar a autenticação do usuário, ele compromete outros componentes que aliviam os certificados digitais para seu modelo de confiança. Os adversários podem criar certificados TLS e se passar por qualquer site.

Como usar essa avaliação de segurança para melhorar minha postura de segurança organizacional?

  1. Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para modelos de certificado excessivamente permissivos com um EKU privilegiado. Por exemplo:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Pesquise por que os modelos têm um EKU privilegiado.

  3. Corrija o problema fazendo o seguinte:

    • Restrinja as permissões excessivamente permissivas do modelo.
    • Aplique atenuações extras, como adicionar requisitos de aprovação e assinatura do Manager, se possível.

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Observação

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades não mais afetadas serão removidas da lista de entidades expostas.

Próximas etapas