安全评估:编辑配置错误的证书颁发机构 ACL (ESC7) (预览版)

本文介绍 Microsoft Defender for Identity 配置错误的证书颁发机构 ACL 安全状况评估报告。

什么是配置错误的证书颁发机构 ACL?

证书颁发机构(CA)维护访问控制列表(ACL),这些列表概述了 CA 的角色和权限。 如果未正确配置访问控制,则允许任何用户干扰 CA 设置、规避安全措施,并可能危及整个域。

配置错误的 ACL 的效果因所应用的权限类型而异。 例如:

  • 如果非特权用户拥有 “管理证书 ”权限,则可以批准挂起的 证书请求,从而绕过管理器审批 要求。
  • 使用“管理 CA”权限,用户可以修改 CA 设置,例如添加用户指定 SAN 标志(EDITF_ATTRIBUTESUBJECTALTNAME2),创建人工配置错误,以后可能会导致完整的域泄露。

先决条件

此评估仅适用于在 AD CS 服务器上安装传感器的客户。 有关详细信息,请参阅 Active Directory 证书服务的新传感器类型(AD CS)。

如何实现使用此安全评估来改善组织安全状况?

  1. 查看错误配置的证书颁发机构 ACL 的建议操作 https://security.microsoft.com/securescore?viewid=actions 。 例如:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. 研究 CA ACL 配置错误的原因。

  3. 通过删除向非特权内置组 授予管理 CA 和/或 管理证书 权限的所有权限来修正问题。

在生产环境中启用设置之前,请确保在受控环境中测试设置。

注意

虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。

报告显示过去 30 天内受影响的实体。 之后,不再受影响的实体将从公开的实体列表中删除。

后续步骤