安全性評估:編輯設定錯誤的憑證範本 ACL (ESC4) (預覽)
本文說明 適用於身分識別的 Microsoft Defender 設定錯誤的證書範本 ACL 安全性狀態評估報告。
什麼是設定錯誤的證書範本 ACL?
證書範本是 Active Directory 物件,ACL 會控制物件的存取權。 除了判斷註冊許可權之外,ACL 也會決定編輯物件本身的許可權。
如果基於任何原因,ACL 中有一個專案會授與內建的未特殊許可權群組,並具有允許範本設定變更的許可權,敵人可以引入範本設定錯誤、提升許可權,以及危害整個網域。
內建、非特殊許可權群組的範例包括已驗證的使用者、網域使用者或所有人。 允許範本設定變更的許可權範例包括 「完全控制 」或 「寫入 DACL」。
如何? 使用此安全性評定來改善我的組織安全性狀態?
如需設定錯誤的證書範本 ACL,請檢閱 的建議動作 https://security.microsoft.com/securescore?viewid=actions 。 例如:
研究範本 ACL 設定錯誤的原因。
拿掉授與允許竄改範本之不特殊許可權群組許可權的任何專案,以補救問題。
如有需要,請移除任何 CA 發佈的證書範本。
在生產環境中開啟設定之前,請務必先在受控制的環境中測試您的設定。
注意
雖然評定會近乎即時地更新,但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間才能將其標示為 已完成。
報告會顯示過去 30 天內受影響的實體。 在那段時間之後,將不再受影響的實體會從公開的實體清單中移除。