Valutazione della sicurezza: Modificare gli endpoint IIS di registrazione certificati ADCS non sicuri (ESC8)
In questo articolo viene descritto Microsoft Defender per identità il report Edit insecure ADCS certificate enrollment IIS endpoints identity security posture assessment (Modifica la valutazione del comportamento di sicurezza delle identità degli endpoint IIS per la registrazione dei certificati ADCS non sicuri).
Che cosa sono gli endpoint IIS di registrazione certificati Active Directory non sicuri?
Servizi certificati Active Directory (AD CS) supporta la registrazione dei certificati tramite vari metodi e protocolli, inclusa la registrazione tramite HTTP tramite il servizio registrazione certificati (CES) o l'interfaccia di registrazione Web (Certsrv).
Se l'endpoint IIS consente l'autenticazione NTLM senza applicare la firma del protocollo (HTTPS) o senza applicare la protezione estesa per l'autenticazione (EPA), diventa vulnerabile agli attacchi di inoltro NTLM (ESC8). Gli attacchi di inoltro possono portare alla completa acquisizione del dominio se un utente malintenzionato riesce a rimuoverlo correttamente.
Prerequisiti
Questa valutazione è disponibile solo per i clienti che hanno installato un sensore in un server servizi certificati Active Directory. Per altre informazioni, vedere Configurazione dei sensori per AD FS e Servizi certificati Active Directory.
Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per gli endpoint IIS di registrazione certificati active directory non sicuri.
La valutazione elenca gli endpoint HTTP problematici nell'organizzazione e indicazioni per configurare gli endpoint in modo sicuro.
Una volta gestito, il rischio di attacco ESC8 viene mitigato, riducendo significativamente la superficie di attacco.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.
I report mostrano le entità interessate degli ultimi 30 giorni. Dopo tale periodo, le entità non interessate verranno rimosse dall'elenco delle entità esposte.