Sicherheitsbewertung: Übermäßig zulässige Zertifikatvorlage mit privilegierter EKU (Any purpose EKU or No EKU) (ESC2) (Vorschau) bearbeiten

  • Artikel

In diesem Artikel wird die übermäßig zulässige Zertifikatvorlage von Microsoft Defender for Identity mit dem Bericht zur Bewertung privilegierter EKU-Sicherheitsstatus beschrieben.

Was ist eine übermäßig zulässige Zertifikatvorlage mit privilegierter EKU?

Digitale Zertifikate spielen eine wichtige Rolle bei der Schaffung von Vertrauensstellungen und der Erhaltung der Integrität in der gesamten Organisation. Dies gilt nicht nur in Kerberos Standard Authentifizierung, sondern auch in anderen Bereichen wie Codeintegrität, Serverintegrität und Technologien, die auf Zertifikaten wie Active Directory-Verbunddienste (AD FS) (AD FS) und IPSec basieren.

Wenn eine Zertifikatvorlage über keine EKUs verfügt oder über eine EKU eines beliebigen Zwecks verfügt und für jeden nicht privilegierten Benutzer registriert ist, können zertifikate, die auf dieser Vorlage basieren, böswillig von einem Angreifer verwendet werden, der das Vertrauen beeinträchtigt.

Obwohl das Zertifikat nicht zum Identitätswechsel der Benutzerauthentifizierung verwendet werden kann, kompromittiert es andere Komponenten, die digitale Zertifikate für ihr Vertrauensmodell entlasten. Angreifer können TLS-Zertifikate erstellen und jede beliebige Website imitieren.

Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?

  1. Überprüfen Sie die empfohlene Aktion für https://security.microsoft.com/securescore?viewid=actions übermäßig zulässige Zertifikatvorlagen mit einer privilegierten EKU. Beispiel:

    Screenshot of the Edit overly permissive certificate template with privileged EKU (Any purpose EKU or No EKU) (ESC2) recommendation.

  2. Recherchieren Sie, warum die Vorlagen über eine privilegierte EKU verfügen.

  3. Beheben Sie das Problem, indem Sie die folgenden Schritte ausführen:

    • Einschränken der übermäßig zulässigen Berechtigungen der Vorlage.
    • Erzwingen Sie zusätzliche Entschärfungen wie das Hinzufügen von Genehmigungs - und Signaturanforderungen des Managers, wenn möglich.

Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.

Hinweis

Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.

In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.

Nächste Schritte