Aracılığıyla paylaş


Güvenlik değerlendirmesi: Ayrıcalıklı EKU (Herhangi bir amaçla EKU veya EKU Yok) ile fazla izinli sertifika şablonunu düzenleme (ESC2)

Bu makalede, ayrıcalıklı EKU güvenlik duruşu değerlendirme raporuyla Kimlik için Microsoft Defender Fazla izinli sertifika şablonu açıklanmaktadır.

Ayrıcalıklı EKU'ya sahip aşırı izinli bir sertifika şablonu nedir?

Dijital sertifikalar, kuruluş genelinde güven oluşturma ve bütünlüğü koruma konusunda önemli bir rol oynar. Bu yalnızca Kerberos etki alanı kimlik doğrulamasında değil, aynı zamanda kod bütünlüğü, sunucu bütünlüğü ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ve IPSec gibi sertifikaları kullanan teknolojiler gibi diğer alanlarda da geçerlidir.

Sertifika şablonunun EKU'ları yoksa veya Herhangi Bir Amacı varsa ve ayrıcalıksız kullanıcılar için kaydedilebilirse, bu şablona dayalı olarak verilen sertifikalar saldırgan tarafından kötü amaçlı olarak kullanılabilir ve güveni tehlikeye atabilir.

Sertifika, kullanıcı kimlik doğrulamasının kimliğine bürünmek için kullanılamasa da, güven modeli için dijital sertifikaları rahatlatan diğer bileşenleri tehlikeye atabilir. Saldırganlar TLS sertifikaları oluşturabilir ve herhangi bir web sitesinin kimliğine bürünebilir.

Kurumsal güvenlik duruşumu geliştirmek için bu güvenlik değerlendirmesini Nasıl yaparım? kullanın?

  1. Ayrıcalıklı bir EKU'ya sahip fazla izinli sertifika şablonları için adresinde önerilen eylemi https://security.microsoft.com/securescore?viewid=actions gözden geçirin. Örneğin:

    Ayrıcalıklı EKU (Herhangi bir amaç EKU veya EKU Yok) (ESC2) önerisini içeren aşırı izinli sertifika şablonunu düzenle seçeneğinin ekran görüntüsü.

  2. Şablonların neden ayrıcalıklı bir EKU'ya sahip olduğunu araştırın.

  3. Aşağıdakileri yaparak sorunu düzeltin:

    • Şablonun fazla izin verme izinlerini kısıtlayın.
    • Mümkünse Yönetici onayı ve imzalama gereksinimleri ekleme gibi ek risk azaltmaları uygulayın.

Ayarlarınızı üretim ortamında açmadan önce denetimli bir ortamda test edin.

Not

Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.

Sonraki adımlar