Aracılığıyla paylaş

Güvenlik değerlendirmesi: Yanlış yapılandırılmış Sertifika Yetkilisi ACL'sini (ESC7) düzenleme (Önizleme)

  • Makale

Bu makalede Kimlik için Microsoft Defender yanlış yapılandırılmış sertifika yetkilisi ACL güvenlik duruşu değerlendirme raporu açıklanmaktadır.

Yanlış yapılandırılmış Sertifika Yetkilisi ACL'si nedir?

Sertifika Yetkilileri (CA) CA'nın rollerini ve izinlerini ana hatlarıyla açıklayan erişim denetim listelerini (ACL' ler) tutar. Erişim denetimi doğru yapılandırılmamışsa, herhangi bir kullanıcının CA ayarlarına müdahale etmesine, güvenlik önlemlerini aşmasına ve etki alanının tamamını tehlikeye atma olasılığı olabilir.

Yanlış yapılandırılmış bir ACL'nin etkisi, uygulanan izin türüne göre değişir. Örneğin:

  • Ayrıcalıksız bir kullanıcı Sertifikaları Yönet hakkına sahipse, Yönetici onay gereksinimini atlayarak bekleyen sertifika isteklerini onaylayabilir.
  • CA'yı Yönet hakkıyla kullanıcı, KULLANıCı SAN bayrağını ()EDITF_ATTRIBUTESUBJECTALTNAME2 belirtir gibi CA ayarlarını değiştirebilir ve daha sonra tam etki alanı güvenliğinin aşılmasına yol açabilecek yapay bir yanlış yapılandırma oluşturabilir.

Önkoşullar

Bu değerlendirme yalnızca AD CS sunucusuna algılayıcı yükleyen müşteriler tarafından kullanılabilir. Daha fazla bilgi için bkz . Active Directory Sertifika Hizmetleri (AD CS) için yeni algılayıcı türü.

Kurumsal güvenlik duruşumu geliştirmek için bu güvenlik değerlendirmesini Nasıl yaparım? kullanın?

  1. Yanlış yapılandırılmış Sertifika Yetkilisi ACL'leri https://security.microsoft.com/securescore?viewid=actions için adresinde önerilen eylemi gözden geçirin. Örneğin:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. CA ACL'sinin neden yanlış yapılandırıldığında araştırma.

  3. CA'yi Yönet ve/veya Sertifikaları yönet izinleriyle ayrıcalıksız yerleşik gruplara izin veren tüm izinleri kaldırarak sorunları düzeltin.

Ayarlarınızı üretim ortamında açmadan önce denetimli bir ortamda test edin.

Dekont

Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.

Raporlar, son 30 güne ait etkilenen varlıkları gösterir. Bu süreden sonra, bundan etkilenmeyecek varlıklar kullanıma sunulan varlıklar listesinden kaldırılacaktır.

Sonraki adımlar