セキュリティ評価: 正しく構成されていない証明書テンプレートの所有者を編集する (ESC4)
この記事では、Microsoft Defender for Identityの正しく構成されていない証明書テンプレート所有者 (ESC4) のセキュリティ体制評価レポートの概要について説明します。
正しく構成されていない証明書テンプレートの所有者とは
証明書テンプレートは、オブジェクトへのアクセスとオブジェクトを編集する機能を制御する所有者を持つ Active Directory オブジェクトです。
所有者のアクセス許可が、テンプレート設定の変更を許可するアクセス許可を持つ組み込みの特権のないグループに付与されている場合、敵対者はテンプレートの構成ミスを発生させ、特権をエスカレートし、ドメイン全体を侵害する可能性があります。
組み込みの特権のないグループの例としては、 認証済みユーザー、 ドメイン ユーザー、または Everyone があります。 テンプレート設定の変更を許可するアクセス許可の例としては、 フル コントロール または 書き込み DACL があります。
このセキュリティ評価を使用して、組織のセキュリティ体制を改善操作方法。
証明書テンプレートの所有者が正しく構成されていない場合は、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。 以下に例を示します。
テンプレート所有者が正しく構成されていない可能性がある理由を調査します。
所有者を特権と監視対象のユーザーに変更することで、問題を修復します。
運用環境でオンにする前に、制御された環境で設定をテストしてください。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。