安全性評估：編輯設定錯誤的證書頒發機構單位 ACL （ESC7） （預覽）

本文說明 適用於身分識別的 Microsoft Defender 設定錯誤的證書頒發機構單位 ACL 安全性狀態評估報告。

什麼是設定錯誤的證書頒發機構單位 ACL？

證書頒發機構單位 （CA） 會維護訪問控制清單 （ACL），以概述 CA 的角色和許可權。 如果未正確設定訪問控制，可能會允許任何使用者干擾 CA 設定、規避安全性措施，並可能危害整個網域。

設定錯誤的 ACL 效果會根據所套用的許可權類型而有所不同。 例如：

• 如果非特殊許可權的使用者持有 [管理憑證 ] 許可權，他們可以核准擱置的 憑證要求，略過管理員核准 需求。
• 透過 [管理 CA] 許可權，使用者可以修改 CA 設定，例如新增使用者指定 SAN 旗標 （EDITF_ATTRIBUTESUBJECTALTNAME2），建立人為的設定錯誤，稍後可能會導致完整的網域入侵。

必要條件

此評量僅適用於在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊，請參閱 Active Directory 憑證服務的新感測器類型（AD CS）。

如何? 使用此安全性評定來改善我的組織安全性狀態？

1. 如需設定錯誤的證書頒發機構單位 ACL，請檢閱 的建議動作 https://security.microsoft.com/securescore?viewid=actions 。 例如：

   

2. 研究 CA ACL 設定錯誤的原因。

3. 拿掉所有許可權，以使用 管理 CA 和/或 管理憑證 許可權來授與非特殊許可權的內建群組，以補救問題。

在生產環境中開啟設定之前，請務必先在受控制的環境中測試您的設定。

注意

雖然評定會近乎即時地更新，但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新，但狀態可能需要一些時間才能將其標示為 已完成。

報告會顯示過去 30 天內受影響的實體。 在那段時間之後，將不再受影響的實體會從公開的實體清單中移除。

下一步

• 深入瞭解 Microsoft 安全分數
• 請參閱適用於身分識別的Defender論壇！