Оценка безопасности: изменение неправильно настроенного центра сертификации ACL (ESC7) (предварительная версия)
В этой статье описывается отчет о неправильной настройке центра сертификации центра сертификации ACL Microsoft Defender для удостоверений.
Что такое неправильно настроенный список ACL центра сертификации?
Центры сертификации (ЦС) поддерживают списки управления доступом (ACL), которые описывают роли и разрешения для ЦС. Если управление доступом настроено неправильно, любой пользователь может повлиять на параметры ЦС, обойти меры безопасности и потенциально скомпрометировать весь домен.
Влияние неправильно настроенного списка ACL зависит от типа примененного разрешения. Например:
- Если непривилизованный пользователь имеет право "Управление сертификатами", он может утвердить ожидающие запросы сертификатов, обходя требование утверждения диспетчера.
- С помощью права управления ЦС пользователь может изменить параметры ЦС, например добавить флаг SAN (
EDITF_ATTRIBUTESUBJECTALTNAME2
), создав искусственное неправильное настройку, которое может привести к полному компрометации домена.
Необходимые компоненты
Эта оценка доступна только клиентам, устанавливающим датчик на сервере CS AD. Дополнительные сведения см. в разделе "Новый тип датчика" для служб сертификатов Active Directory (AD CS).
Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?
Проверьте рекомендуемое действие https://security.microsoft.com/securescore?viewid=actions для неправильно настроенных списков ACL центра сертификации. Например:
Исследования, почему ACL ЦС неправильно настроен.
Исправьте проблемы, удалив все разрешения, которые предоставляют непривилегированные встроенные группы с помощью управления ЦС и /или управления разрешениями сертификатов .
Перед включением параметров в рабочей среде обязательно протестируйте параметры в управляемой среде.
Примечание.
Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.
В отчетах отображаются затронутые сущности за последние 30 дней. После этого сущности больше не будут затронуты из списка предоставляемых сущностей.