Udostępnij za pośrednictwem

Ocena zabezpieczeń: edytowanie nieprawidłowo skonfigurowanej listy ACL urzędu certyfikacji (ESC7)

  • Artykuł

W tym artykule opisano nieprawidłowo skonfigurowany raport oceny stanu zabezpieczeń urzędu certyfikacji listy ACL Microsoft Defender for Identity.

Co to jest nieprawidłowo skonfigurowana lista ACL urzędu certyfikacji?

Urzędy certyfikacji (CA) obsługują listy kontroli dostępu (ACL), które określają role i uprawnienia urzędu certyfikacji. Jeśli kontrola dostępu nie jest poprawnie skonfigurowana, każdy użytkownik może mieć możliwość ingerowania w ustawienia urzędu certyfikacji, obejścia środków zabezpieczeń i potencjalnego naruszenia całej domeny.

Wpływ błędnie skonfigurowanej listy ACL zależy od typu zastosowanego uprawnienia. Przykład:

  • Jeśli nieuprzywilejowany użytkownik ma prawo Zarządzaj certyfikatami , może zatwierdzić oczekujące żądania certyfikatów, pomijając wymaganie zatwierdzenia menedżera .
  • Po prawej stronie Zarządzanie urzędem certyfikacji użytkownik może modyfikować ustawienia urzędu certyfikacji, takie jak dodanie flagi Użytkownika określa sieć SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), tworząc sztuczną błędną konfigurację, która może później prowadzić do całkowitego naruszenia zabezpieczeń domeny.

Wymagania wstępne

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS. Aby uzyskać więcej informacji, zobacz Nowy typ czujnika dla usług certyfikatów Active Directory (AD CS).

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń organizacji?

  1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby uzyskać nieprawidłowo skonfigurowane listy ACL urzędu certyfikacji. Przykład:

    Zrzut ekranu przedstawiający zalecenie Edytuj nieprawidłowo skonfigurowaną listę ACL urzędu certyfikacji (ESC7).

  2. Zbadaj, dlaczego lista ACL urzędu certyfikacji jest nieprawidłowo skonfigurowana.

  3. Rozwiązuj problemy, usuwając wszystkie uprawnienia, które udzielają nieuprzywilejowanych grup wbudowanych przy użyciu uprawnień Zarządzaj urzędem certyfikacji i/lub Zarządzaj certyfikatami .

Przed włączeniem ich w środowisku produkcyjnym należy przetestować ustawienia w kontrolowanym środowisku.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Następne kroki