安全性評估:編輯設定錯誤的證書頒發機構單位 ACL (ESC7)
本文說明 適用於身分識別的 Microsoft Defender 設定錯誤的證書頒發機構單位 ACL 安全性狀態評估報告。
什麼是設定錯誤的證書頒發機構單位 ACL?
證書頒發機構單位 (CA) 維護訪問控制清單, (ACL) 概述 CA 的角色和許可權。 如果未正確設定訪問控制,則可能會允許任何使用者干擾 CA 設定、規避安全性措施,並可能會危害整個網域。
設定錯誤的 ACL 效果會根據套用的許可權類型而有所不同。 例如:
- 如果沒有特殊許可權的使用者持有 管理憑證 許可權,他們可以略過管理員 核准 需求來核准擱置的憑證要求。
- 使用 [管理 CA ] 許可權,使用者可以修改 CA 設定,例如新增 使用者指定 SAN 旗標 (
EDITF_ATTRIBUTESUBJECTALTNAME2) ,建立可能會在稍後導致完整網域入侵的人工設定錯誤。
必要條件
這項評量僅適用於在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊,請 參閱 Active Directory 憑證服務的新感測器類型 (AD CS) 。
如何? 使用此安全性評估來改善我的組織安全性狀態嗎?
如需設定錯誤的證書頒發機構單位 ACL,請檢閱 中的建議動作 https://security.microsoft.com/securescore?viewid=actions 。 例如:
研究 CA ACL 設定錯誤的原因。
拿掉使用 管理 CA 和/或 管理憑證 許可權授與未具特殊許可權內建群組的所有許可權,以補救問題。
在生產環境中開啟設定之前,請務必先在受控制環境中測試設定。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。