Share via

Оценка безопасности: изменение неправильно настроенного центра сертификации ACL (ESC7) (предварительная версия)

  • Статья

В этой статье описывается отчет о неправильной настройке центра сертификации центра сертификации ACL Microsoft Defender для удостоверений.

Что такое неправильно настроенный список ACL центра сертификации?

Центры сертификации (ЦС) поддерживают списки управления доступом (ACL), которые описывают роли и разрешения для ЦС. Если управление доступом настроено неправильно, любой пользователь может повлиять на параметры ЦС, обойти меры безопасности и потенциально скомпрометировать весь домен.

Влияние неправильно настроенного списка ACL зависит от типа примененного разрешения. Например:

  • Если непривилизованный пользователь имеет право "Управление сертификатами", он может утвердить ожидающие запросы сертификатов, обходя требование утверждения диспетчера.
  • С помощью права управления ЦС пользователь может изменить параметры ЦС, например добавить флаг SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), создав искусственное неправильное настройку, которое может привести к полному компрометации домена.

Необходимые компоненты

Эта оценка доступна только клиентам, устанавливающим датчик на сервере CS AD. Дополнительные сведения см. в разделе "Новый тип датчика" для служб сертификатов Active Directory (AD CS).

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

  1. Проверьте рекомендуемое действие https://security.microsoft.com/securescore?viewid=actions для неправильно настроенных списков ACL центра сертификации. Например:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. Исследования, почему ACL ЦС неправильно настроен.

  3. Исправьте проблемы, удалив все разрешения, которые предоставляют непривилегированные встроенные группы с помощью управления ЦС и /или управления разрешениями сертификатов .

Перед включением параметров в рабочей среде обязательно протестируйте параметры в управляемой среде.

Примечание.

Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.

В отчетах отображаются затронутые сущности за последние 30 дней. После этого сущности больше не будут затронуты из списка предоставляемых сущностей.

Следующие шаги