安全性評估：編輯不安全的 ADCS 憑證註冊 IIS 端點 （ESC8）

本文說明 適用於身分識別的 Microsoft Defender 編輯不安全的 ADCS 憑證註冊 IIS 端點身分識別安全性狀態評估報告。

什麼是不安全的 AD CS 憑證註冊 IIS 端點？

Active Directory 憑證服務 （AD CS） 透過各種方法和通訊協定支援憑證註冊，包括使用憑證註冊服務 （CES） 或 Web 註冊介面 （Certsrv） 透過 HTTP 註冊。

如果 IIS 端點允許 NTLM 驗證而不強制執行通訊協定簽署 （HTTPS），或未強制執行驗證延伸保護 （EPA），它就會容易受到 NTLM 轉送攻擊 （ESC8）。 如果攻擊者設法成功將其提取，轉送攻擊可能會導致完成網域接管。

必要條件

此評量僅適用於已在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊，請參閱 設定AD FS和AD CS的感測器。

如何? 使用此安全性評定來改善我的組織安全性狀態？

請檢閱 的建議動作， https://security.microsoft.com/securescore?viewid=actions 以取得不安全的 AD CS 憑證註冊 IIS 端點。

此評估會列出組織中有問題的 HTTP 端點，以及安全地設定端點的指引。

處理之後，ESC8 攻擊風險就會降低，大幅降低攻擊面。

注意

雖然評定會近乎即時地更新，但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新，但狀態可能需要一些時間才能將其標示為 已完成。

報告會顯示過去 30 天內受影響的實體。 在那段時間之後，將不再受影響的實體會從公開的實體清單中移除。

下一步

• 深入瞭解 Microsoft 安全分數
• 請參閱適用於身分識別的Defender論壇！