Share via

Ocena zabezpieczeń: Edytowanie nieprawidłowo skonfigurowanej listy ACL urzędu certyfikacji (ESC7) (wersja zapoznawcza)

  • Artykuł

W tym artykule opisano nieprawidłowo skonfigurowany raport oceny stanu zabezpieczeń listy ACL urzędu certyfikacji usługi Microsoft Defender for Identity.

Co to jest nieprawidłowo skonfigurowana lista ACL urzędu certyfikacji?

Urzędy certyfikacji (CA) utrzymują listy kontroli dostępu (ACL), które przedstawiają role i uprawnienia dla urzędu certyfikacji. Jeśli kontrola dostępu nie jest poprawnie skonfigurowana, każdy użytkownik może mieć możliwość zakłócania ustawień urzędu certyfikacji, obejścia środków zabezpieczeń i potencjalnie naruszenia zabezpieczeń całej domeny.

Wpływ nieprawidłowo skonfigurowanej listy ACL różni się w zależności od typu zastosowanych uprawnień. Na przykład:

  • Jeśli użytkownik nieuprzywilejowany posiada prawo Zarządzanie certyfikatami , może zatwierdzić oczekujące żądania certyfikatów, pomijając wymaganie zatwierdzenia menedżera.
  • Po prawej stronie Zarządzanie urzędem certyfikacji użytkownik może zmodyfikować ustawienia urzędu certyfikacji, takie jak dodanie flagi SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), utworzenie sztucznej błędnej konfiguracji, która może później prowadzić do całkowitego naruszenia zabezpieczeń domeny.

Wymagania wstępne

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS. Aby uzyskać więcej informacji, zobacz Nowy typ czujnika dla usług certyfikatów Active Directory (AD CS).

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić poziom zabezpieczeń organizacji?

  1. Zapoznaj się z zalecaną akcją w temacie , aby https://security.microsoft.com/securescore?viewid=actions uzyskać błędnie skonfigurowane listy ACL urzędu certyfikacji. Na przykład:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. Zbadaj, dlaczego lista ACL urzędu certyfikacji jest nieprawidłowo skonfigurowana.

  3. Koryguj problemy, usuwając wszystkie uprawnienia, które udzielają nieuprzywilejowanych wbudowanych grup z uprawnieniami Zarządzanie urzędem certyfikacji i/lub Zarządzanie certyfikatami .

Pamiętaj, aby przetestować ustawienia w kontrolowanym środowisku przed włączeniem ich w środowisku produkcyjnym.

Uwaga

Chociaż oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Chociaż lista jednostek, których dotyczy ten wpływ, zostanie zaktualizowana w ciągu kilku minut od wdrożenia zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Raporty pokazują jednostki, których dotyczy problem z ostatnich 30 dni. Po tym czasie jednostki, których nie dotyczy problem, zostaną usunięte z listy uwidocznionych jednostek.

Następne kroki