Avaliação de segurança: Editar pontos de extremidade do IIS de registro de certificado do ADCS não seguro (ESC8)
Este artigo descreve o relatório de avaliação de postura de segurança de identidade Editar pontos de extremidade do IIS de registro de certificado do ADCS não seguro do Microsoft Defender para Identidade.
O que são pontos de extremidade do IIS de registro de certificado AD CS não seguros?
Os Serviços de Certificados do Active Directory (AD CS) oferecem suporte ao registro de certificado por meio de vários métodos e protocolos, incluindo o registro via HTTP usando o CES (Serviço de Registro de Certificado) ou a interface de Registro na Web (Certsrv).
Se o ponto de extremidade do IIS permitir a autenticação NTLM sem impor a assinatura de protocolo (HTTPS) ou sem impor a Proteção Estendida para Autenticação (EPA), ele se tornará vulnerável a ataques de retransmissão NTLM (ESC8). Os ataques de retransmissão podem levar à tomada completa do domínio se um invasor conseguir realizá-lo com êxito.
Pré-requisitos
Essa avaliação está disponível apenas para clientes que instalaram um sensor em um servidor do AD CS. Para obter mais informações, confira Configurar os sensores para AD FS e AD CS.
Como usar essa avaliação de segurança para melhorar minha postura de segurança organizacional?
Leia a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para pontos de extremidade do IIS de registro de certificado do AD CS não seguros.
A avaliação lista os pontos de extremidade HTTP problemáticos em sua organização e a orientação para configurar os pontos de extremidade com segurança.
Uma vez tratado, o risco de ataque ESC8 é mitigado, reduzindo significativamente sua superfície de ataque.
Observação
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.
Os relatórios mostram as entidades afetadas nos últimos 30 dias. Após esse período, as entidades não mais afetadas serão removidas da lista de entidades expostas.