Güvenlik değerlendirmesi: Güvenli olmayan ADCS sertifika kaydı IIS uç noktalarını düzenleme (ESC8)
Bu makalede, Kimlik için Microsoft Defender Güvenli olmayan ADCS sertifika kaydını düzenle IIS uç noktaları kimlik güvenlik duruşu değerlendirme raporu açıklanmaktadır.
Güvenli olmayan AD CS sertifika kaydı IIS uç noktaları nelerdir?
Active Directory Sertifika Hizmetleri (AD CS), Sertifika Kayıt Hizmeti (CES) veya Web Kaydı arabirimi (Certsrv) kullanarak HTTP üzerinden kayıt da dahil olmak üzere çeşitli yöntemler ve protokoller aracılığıyla sertifika kaydını destekler.
IIS uç noktası, protokol imzalama (HTTPS) veya Kimlik Doğrulaması için Genişletilmiş Koruma (EPA) uygulamadan NTLM kimlik doğrulamasına izin veriyorsa, NTLM geçiş saldırılarına (ESC8) karşı savunmasız hale gelir. Geçiş saldırıları, bir saldırgan başarıyla çekmeyi yönetirse etki alanı devralma işleminin tamamlanmasına neden olabilir.
Önkoşullar
Bu değerlendirme yalnızca AD CS sunucusuna algılayıcı yüklemiş olan müşteriler tarafından kullanılabilir. Daha fazla bilgi için bkz . AD FS ve AD CS için algılayıcıları yapılandırma.
Kurumsal güvenlik duruşumu geliştirmek için bu güvenlik değerlendirmesini Nasıl yaparım? kullanın?
Güvenli olmayan AD CS sertifika kaydı IIS uç noktaları için adresinde önerilen eylemi https://security.microsoft.com/securescore?viewid=actions gözden geçirin.
Değerlendirme, kuruluşunuzdaki sorunlu HTTP uç noktalarını ve uç noktaları güvenli bir şekilde yapılandırma yönergelerini listeler.
ele alındıktan sonra ESC8 saldırı riski azaltılarak saldırı yüzeyi önemli ölçüde azaltılır.
Not
Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.
Raporlar, son 30 güne ait etkilenen varlıkları gösterir. Bu süreden sonra, bundan etkilenmeyecek varlıklar kullanıma sunulan varlıklar listesinden kaldırılacaktır.