Поделиться через

Оценка безопасности: изменение неправильно настроенного списка ACL центра сертификации (ESC7)

  • Статья

В этой статье описывается отчет об оценке состояния безопасности ACL центра сертификации Microsoft Defender для удостоверений неправильно настроен.

Что такое неправильно настроенный список ACL центра сертификации?

Центры сертификации (ЦС) поддерживают списки управления доступом (ACL), которые описывают роли и разрешения для ЦС. Если управление доступом настроено неправильно, любому пользователю может быть разрешено вмешиваться в параметры ЦС, обходя меры безопасности и потенциально компрометируя весь домен.

Влияние неправильно настроенного списка управления доступом зависит от типа примененного разрешения. Например:

  • Если у непривилегированного пользователя есть право "Управление сертификатами ", он может утвердить ожидающие запросы сертификатов, минуя требование об утверждении диспетчера .
  • С помощью права Управление ЦС пользователь может изменить параметры ЦС, например добавить пользователь , указывающий флаг SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), создав искусственную ошибку конфигурации, которая в дальнейшем может привести к полной компрометации домена.

Предварительные условия

Эта оценка доступна только клиентам, которые установили датчик на сервере AD CS. Дополнительные сведения см. в статье Новый тип датчика для служб сертификатов Active Directory (AD CS).

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

  1. Ознакомьтесь с рекомендуемыми действиями для https://security.microsoft.com/securescore?viewid=actions неправильно настроенных списков ACL центра сертификации. Например:

    Снимок экрана: рекомендация изменить неправильно настроенный список ACL центра сертификации (ESC7).

  2. Изучите причину неправильной конфигурации центра сертификации ACL.

  3. Устраните проблемы, удалив все разрешения, предоставляющие непривилегированные встроенные группы с помощью управления ЦС и (или ) разрешения на управление сертификатами .

Обязательно протестируйте параметры в управляемой среде, прежде чем включать их в рабочей среде.

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Дальнейшие действия