セキュリティ評価: 正しく構成されていない証明書テンプレート ACL (ESC4) を編集する
この記事では、Microsoft Defender for Identityの正しく構成されていない証明書テンプレート ACL セキュリティ体制評価レポートについて説明します。
正しく構成されていない証明書テンプレート ACL とは
証明書テンプレートは、オブジェクトへのアクセスを制御する ACL を持つ Active Directory オブジェクトです。 ACL は、登録アクセス許可の決定に加えて、オブジェクト自体を編集するためのアクセス許可も決定します。
何らかの理由で、テンプレート設定の変更を可能にするアクセス許可を持つ組み込みの特権のないグループを許可するエントリが ACL に存在する場合、敵対者はテンプレートの構成ミスを導入し、特権をエスカレートし、ドメイン全体を侵害する可能性があります。
組み込みの特権のないグループの例としては、 認証済みユーザー、 ドメイン ユーザー、または Everyone があります。 テンプレート設定の変更を許可するアクセス許可の例としては、 フル コントロール または 書き込み DACL があります。
このセキュリティ評価を使用して、組織のセキュリティ体制を改善操作方法。
正しく構成されていない証明書テンプレート ACL については、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認してください。 以下に例を示します。
テンプレート ACL が正しく構成されていない可能性がある理由を調査します。
テンプレートの改ざんを許可する特権のないグループアクセス許可を付与するエントリを削除して、問題を修復します。
証明書テンプレートが不要な場合は、CA によって発行されないように削除します。
運用環境でオンにする前に、制御された環境で設定をテストしてください。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。