Säkerhetsbedömning: Redigera osäkra IIS-slutpunkter för ADCS-certifikatregistrering (ESC8)
Den här artikeln beskriver Microsoft Defender for Identitys rapport Redigera osäker ADCS-certifikatregistrering i IIS-slutpunkter för utvärdering av identitetssäkerhetsstatus .
Vad är osäkra AD CS-certifikatregistrerings-IIS-slutpunkter?
Active Directory Certificate Services (AD CS) stöder certifikatregistrering via olika metoder och protokoll, inklusive registrering via HTTP med hjälp av certifikatregistreringstjänsten (CES) eller gränssnittet för webbregistrering (Certsrv).
Om IIS-slutpunkten tillåter NTLM-autentisering utan att framtvinga protokollsignering (HTTPS) eller utan att tillämpa Utökat skydd för autentisering (EPA) blir den sårbar för NTLM-reläattacker (ESC8). Reläattacker kan leda till fullständigt domänövertagande om en angripare lyckas utföra det.
Förutsättningar
Den här utvärderingen är endast tillgänglig för kunder som har installerat en sensor på en AD CS-server. Mer information finns i Konfigurera sensorer för AD FS och AD CS.
Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?
Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions osäkra AD CS-certifikatregistrerings-IIS-slutpunkter.
Utvärderingen visar de problematiska HTTP-slutpunkterna i din organisation och vägledning för att konfigurera slutpunkterna på ett säkert sätt.
När den väl har hanterats minimeras risken för ESC8-attacker, vilket minskar attackytan avsevärt.
Kommentar
Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.
Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.