Säkerhetsbedömning: Redigera felkonfigurerade certifikatmallar ACL (ESC4) (förhandsversion)
Den här artikeln beskriver Microsoft Defender för identitetens felkonfigurerade utvärderingsrapport för ACL-säkerhetsstatus .
Vad är en felkonfigurerad certifikatmalls-ACL?
Certifikatmallar är Active Directory-objekt med en ACL som styr åtkomsten till objektet. Förutom att fastställa registreringsbehörigheter avgör ACL också behörigheter för redigering av själva objektet.
Om det av någon anledning finns en post i ACL som ger en inbyggd, oprivilegierad grupp med behörigheter som tillåter ändringar i mallinställningen, kan en angripare införa en felkonfiguration av mallar, eskalera behörigheter och kompromettera hela domänen.
Exempel på inbyggda, icke-privilegierade grupper är autentiserade användare, domänanvändare eller Alla. Exempel på behörigheter som tillåter ändringar i mallinställningen är Fullständig kontroll eller Skriv DACL.
Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?
Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions en felkonfigurerad certifikatmalls-ACL. Till exempel:
Ta reda på varför mall-ACL:en kan vara felkonfigurerad.
Åtgärda problemet genom att ta bort alla inmatningar som beviljar icke-privilegierade gruppbehörigheter som tillåter manipulering av mallen.
Ta bort certifikatmallen från att publiceras av en certifikatutfärdare om de inte behövs.
Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.
Kommentar
Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.
Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.