Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede Kimlik için Microsoft Defender yanlış yapılandırılmış sertifika yetkilisi ACL güvenlik duruşu değerlendirme raporu açıklanmaktadır.
Yanlış yapılandırılmış Sertifika Yetkilisi ACL'si nedir?
Sertifika Yetkilileri (CA' lar), CA rollerini ve izinlerini ana hatlarıyla açıklayan erişim denetim listelerini (ACL' ler) tutar. Erişim denetimi doğru yapılandırılmamışsa, herhangi bir kullanıcının CA ayarlarını engellemesine, güvenlik önlemlerini aşmasına ve etki alanının tamamını tehlikeye atma olasılığı olabilir.
Yanlış yapılandırılmış bir ACL'nin etkisi, uygulanan izin türüne göre değişir. Örneğin:
- Ayrıcalıksız bir kullanıcı Sertifikaları Yönetme hakkına sahipse, Bekleyen sertifika isteklerini onaylayabilir ve Yönetici onay gereksinimini atlayabilir.
-
CA'yı Yönet hakkıyla kullanıcı, KULLANıCı SAN bayrağını ()
EDITF_ATTRIBUTESUBJECTALTNAME2belirtir gibi CA ayarlarını değiştirebilir ve daha sonra tam etki alanı güvenliğinin aşılmasına yol açabilecek yapay bir yanlış yapılandırma oluşturabilir.
Önkoşullar
Bu değerlendirme yalnızca AD CS sunucusuna algılayıcı yükleyen müşteriler tarafından kullanılabilir. Daha fazla bilgi için bkz. Active Directory Sertifika Hizmetleri (AD CS) için yeni algılayıcı türü.
Kurumsal güvenlik duruşumu geliştirmek için bu güvenlik değerlendirmesini Nasıl yaparım? kullanın?
Yanlış yapılandırılmış Sertifika Yetkilisi ACL'leri https://security.microsoft.com/securescore?viewid=actions için adresinde önerilen eylemi gözden geçirin. Örneğin:
CA ACL'nin neden yanlış yapılandırıldığından araştırma.
CA'yi Yönet ve/veya Sertifikaları yönet izinleri olan ayrıcalıksız yerleşik gruplara izin veren tüm izinleri kaldırarak sorunları düzeltin.
Ayarlarınızı üretim ortamında açmadan önce denetimli bir ortamda test edin.
Not
Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.