Säkerhetsbedömning: Redigera övergiven certifikatmall med privilegierad EKU (EKU för alla ändamål eller ingen EKU) (ESC2) (förhandsversion)

  • Artikel

Den här artikeln beskriver Microsoft Defender för identitetens övergivna certifikatmall med privilegierad utvärderingsrapport för EKU-säkerhetsstatus .

Vad är en övergiven certifikatmall med privilegierad EKU?

Digitala certifikat spelar en viktig roll för att skapa förtroende och bevara integriteten i en organisation. Detta gäller inte bara i Kerberos-domänautentisering, utan även inom andra områden, till exempel kodintegritet, serverintegritet och tekniker som förlitar sig på certifikat som Active Directory Federation Services (AD FS) (AD FS) och IPSec.

När en certifikatmall inte har några EKU:er eller har en EKU för valfritt syfte och den kan registreras för alla icke-privilegierade användare, kan certifikat som utfärdats baserat på den mallen användas skadligt av en angripare, vilket äventyrar förtroendet.

Även om certifikatet inte kan användas för att personifiera användarautentisering komprometterar det andra komponenter som avlastar digitala certifikat för deras förtroendemodell. Angripare kan skapa TLS-certifikat och personifiera alla webbplatser.

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

  1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions övergivna certifikatmallar med en privilegierad EKU. Till exempel:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Undersöka varför mallarna har en privilegierad EKU.

  3. Åtgärda problemet genom att göra följande:

    • Begränsa mallens övergivna behörigheter.
    • Framtvinga extra åtgärder som att lägga till godkännande- och signeringskrav för chefen om det är möjligt.

Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.

Kommentar

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.

Nästa steg