Dela via

Säkerhetsbedömning: Redigera felkonfigurerad ACL för certifikatutfärdare (ESC7) (förhandsversion)

  • Artikel

Den här artikeln beskriver Microsoft Defender för identitetens felkonfigurerade utvärderingsrapport för certifikatutfärdare för ACL-säkerhetsstatus .

Vad är en felkonfigurerad ACL för certifikatutfärdare?

Certifikatutfärdare (CA) underhåller åtkomstkontrollistor (ACL:er) som beskriver roller och behörigheter för certifikatutfärdare. Om åtkomstkontrollen inte är korrekt konfigurerad kan alla användare tillåtas störa CA-inställningarna, kringgå säkerhetsåtgärder och eventuellt kompromettera hela domänen.

Effekten av en felkonfigurerad ACL varierar beroende på vilken typ av behörighet som tillämpas. Till exempel:

  • Om en oprivilegierad användare har behörigheten Hantera certifikat kan de godkänna väntande certifikatbegäranden och kringgå kravet på manager-godkännande .
  • Med rättigheten Hantera certifikatmottagare kan användaren ändra CA-inställningarna, till exempel att lägga till användaren anger SAN-flaggan (EDITF_ATTRIBUTESUBJECTALTNAME2), vilket skapar en artificiell felkonfiguration som senare kan leda till en fullständig domänkompromation.

Förutsättningar

Den här utvärderingen är endast tillgänglig för kunder som har installerat en sensor på en AD CS-server. Mer information finns i Ny sensortyp för Active Directory Certificate Services (AD CS).

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

  1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions felkonfigurerade ACL:er för certifikatutfärdare. Till exempel:

    Screenshot of the Edit misconfigured Certificate Authority ACL (ESC7) recommendation.

  2. Undersöka varför CA ACL är felkonfigurerad.

  3. Åtgärda problemen genom att ta bort alla behörigheter som beviljar oprivilegierade inbyggda grupper med hantera certifikatutfärdare och/eller hantera certifikatbehörigheter .

Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.

Kommentar

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.

Nästa steg