Поделиться через

Оценка безопасности. Изменение слишком разрешительного шаблона сертификата с привилегированным EKU (любое назначение EKU или no EKU) (ESC2) (предварительная версия)

  • Статья

В этой статье описано, как Microsoft Defender для удостоверений слишком пропустимый шаблон сертификата с привилегированным отчетом о состоянии безопасности EKU.

Что такое слишком пропустимый шаблон сертификата с привилегированным EKU?

Цифровые сертификаты играют важную роль в создании доверия и сохранении целостности во всей организации. Это верно не только в проверке подлинности домена Kerberos, но и в других областях, таких как целостность кода, целостность сервера и технологии, использующие сертификаты, такие как службы федерации Active Directory (AD FS) (AD FS) и IPSec.

Если шаблон сертификата не имеет EKUs или имеет EKU "Любое назначение ", и он может быть зарегистрирован для любого непривилегированного пользователя, сертификаты, выданные на основе этого шаблона, могут использоваться злоумышленником, компрометируя доверие.

Несмотря на то что сертификат не может использоваться для олицетворения проверки подлинности пользователя, он компрометирует другие компоненты, которые упрощают цифровые сертификаты для модели доверия. Злоумышленники могут создавать сертификаты TLS и олицетворять любой веб-сайт.

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

  1. Ознакомьтесь с рекомендуемым действием https://security.microsoft.com/securescore?viewid=actions для чрезмерно разрешительных шаблонов сертификатов с привилегированным EKU. Например:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Исследования, почему шаблоны имеют привилегированный EKU.

  3. Исправьте проблему, выполнив следующие действия.

    • Ограничение слишком избыточных разрешений шаблона.
    • При необходимости применяйте дополнительные средства устранения рисков, например добавление требований к утверждению и подписи диспетчера.

Перед включением параметров в рабочей среде обязательно протестируйте параметры в управляемой среде.

Примечание.

Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.

В отчетах отображаются затронутые сущности за последние 30 дней. После этого сущности больше не будут затронуты из списка предоставляемых сущностей.

Следующие шаги