Aracılığıyla paylaş

Güvenlik değerlendirmesi: Ayrıcalıklı EKU (Herhangi bir amaca yönelik EKU veya EKU Yok) (ESC2) (Önizleme) sahip fazla izinli sertifika şablonunu düzenleyin

  • Makale

Bu makalede, ayrıcalıklı EKU güvenlik duruşu değerlendirme raporuyla Kimlik için Microsoft Defender Fazla izinli sertifika şablonu açıklanmaktadır.

Ayrıcalıklı EKU'ya sahip aşırı izinli bir sertifika şablonu nedir?

Dijital sertifikalar, kuruluş genelinde güven oluşturma ve bütünlüğü koruma konusunda önemli bir rol oynar. Bu yalnızca Kerberos etki alanı kimlik doğrulamasında değil, aynı zamanda kod bütünlüğü, sunucu bütünlüğü ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ve IPSec gibi sertifikaları kullanan teknolojiler gibi diğer alanlarda da geçerlidir.

Sertifika şablonunun EKU'ları yoksa veya Herhangi Bir Amaçlı EKU'su varsa ve ayrıcalıksız kullanıcılar için kaydedilebilirse, bu şablonu temel alan sertifikalar bir saldırgan tarafından kötü amaçlı olarak kullanılabilir ve güveni tehlikeye atabilir.

Sertifika, kullanıcı kimlik doğrulaması kimliğine bürünmek için kullanılamasa da, güven modeli için dijital sertifikaları rahatlatan diğer bileşenlerin güvenliğini ihlal eder. Saldırganlar TLS sertifikaları oluşturabilir ve herhangi bir web sitesinin kimliğine bürünebilir.

Kurumsal güvenlik duruşumu geliştirmek için bu güvenlik değerlendirmesini Nasıl yaparım? kullanın?

  1. Ayrıcalıklı bir EKU'ya sahip fazla izinli sertifika şablonları için adresinde önerilen eylemi https://security.microsoft.com/securescore?viewid=actions gözden geçirin. Örneğin:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Şablonların neden ayrıcalıklı bir EKU'ya sahip olduğunu araştırın.

  3. Aşağıdakileri yaparak sorunu düzeltin:

    • Şablonun fazla izin verme izinlerini kısıtlayın.
    • Mümkünse Yönetici onayı ve imzalama gereksinimleri ekleme gibi ek risk azaltmaları uygulayın.

Ayarlarınızı üretim ortamında açmadan önce denetimli bir ortamda test edin.

Dekont

Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.

Raporlar, son 30 güne ait etkilenen varlıkları gösterir. Bu süreden sonra, bundan etkilenmeyecek varlıklar kullanıma sunulan varlıklar listesinden kaldırılacaktır.

Sonraki adımlar