Поделиться через


Оценка безопасности. Изменение небезопасных конечных точек регистрации сертификатов ADCS (ESC8)

В этой статье описано, Microsoft Defender для удостоверений в отчете об оценке состояния безопасности удостоверений в службе "Изменение небезопасных сертификатов ADCS" для конечных точек IIS.

Что такое небезопасные конечные точки регистрации сертификатов AD CS IIS?

Службы сертификатов Active Directory (AD CS) поддерживают регистрацию сертификатов с помощью различных методов и протоколов, включая регистрацию через HTTP с помощью службы регистрации сертификатов (CES) или интерфейса веб-регистрации (Certsrv).

Если конечная точка IIS разрешает проверку подлинности NTLM без применения подписи протокола (HTTPS) или без применения расширенной защиты для проверки подлинности (EPA), она становится уязвимой для атак ретранслятора NTLM (ESC8). Атаки ретранслятора могут привести к полному захвату домена, если злоумышленнику удастся успешно отключить его.

Необходимые компоненты

Эта оценка доступна только клиентам, которые установили датчик на сервере CS AD. Дополнительные сведения см. в разделе "Настройка датчиков для AD FS и AD CS".

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

Ознакомьтесь с рекомендуемым действием https://security.microsoft.com/securescore?viewid=actions для небезопасных конечных точек iis регистрации сертификатов AD CS.

В оценке перечислены проблемные конечные точки HTTP в организации и рекомендации по безопасной настройке конечных точек.

После обработки риск атаки ESC8 уменьшается, что значительно сокращает область атаки.

Примечание.

Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.

В отчетах отображаются затронутые сущности за последние 30 дней. После этого сущности больше не будут затронуты из списка предоставляемых сущностей.

Следующие шаги