安全性評估:編輯設定錯誤的憑證範本 ACL (ESC4) (預覽)

  • 文章

本文說明 適用於身分識別的 Microsoft Defender 設定錯誤的證書範本 ACL 安全性狀態評估報告。

什麼是設定錯誤的證書範本 ACL?

證書範本是 Active Directory 物件,ACL 會控制物件的存取權。 除了判斷註冊許可權之外,ACL 也會決定編輯物件本身的許可權。

如果基於任何原因,ACL 中有一個專案會授與內建的未特殊許可權群組,並具有允許範本設定變更的許可權,敵人可以引入範本設定錯誤、提升許可權,以及危害整個網域。

內建、非特殊許可權群組的範例包括已驗證的使用者、網域使用者所有人。 允許範本設定變更的許可權範例包括 「完全控制 」或 「寫入 DACL」。

如何? 使用此安全性評定來改善我的組織安全性狀態?

  1. 如需設定錯誤的證書範本 ACL,請檢閱 的建議動作 https://security.microsoft.com/securescore?viewid=actions 。 例如:

    Screenshot of the Edit misconfigured certificate templates ACL (ESC4) recommendation.

  2. 研究範本 ACL 設定錯誤的原因。

  3. 拿掉授與允許竄改範本之不特殊許可權群組許可權的任何專案,以補救問題。

  4. 如有需要,請移除任何 CA 發佈的證書範本。

在生產環境中開啟設定之前,請務必先在受控制的環境中測試您的設定。

注意

雖然評定會近乎即時地更新,但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間才能將其標示為 已完成

報告會顯示過去 30 天內受影響的實體。 在那段時間之後,將不再受影響的實體會從公開的實體清單中移除。

下一步