安全性評估:編輯設定錯誤的證書範本 ACL (ESC4)
本文說明 適用於身分識別的 Microsoft Defender 設定錯誤的證書範本 ACL 安全性狀態評估報告。
什麼是設定錯誤的證書範本 ACL?
證書範本是 Active Directory 物件,具有控制物件存取權的 ACL。 除了判斷註冊許可權之外,ACL 也會決定編輯物件本身的許可權。
如果因為任何原因,ACL 中有一個專案會將允許範本設定變更的許可權授與內建、未具特殊許可權的群組,則敵人可能會導入範本設定錯誤、提高許可權,並危害整個網域。
內建、無特殊許可權群組的範例包括 已驗證的使用者、 網域使用者或 所有人。 允許範本設定變更的許可權範例為 [完全控制 ] 或 [ 寫入DACL]。
如何? 使用此安全性評估來改善我的組織安全性狀態嗎?
如需設定錯誤的證書範本 ACL,請檢閱 在 https://security.microsoft.com/securescore?viewid=actions 的建議動作。 例如:
研究範本 ACL 設定錯誤的原因。
拿掉任何授與允許竄改範本之無特殊許可權群組許可權的專案,以補救此問題。
如果不需要憑證範本,請移除任何 CA 所發佈的證書範本。
在生產環境中開啟設定之前,請務必先在受控制環境中測試設定。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。