Posouzení zabezpečení: Úprava chybně nakonfigurovaných šablon certifikátů ACL (ESC4)

Tento článek popisuje sestavu posouzení stavu zabezpečení ACL šablony certifikátu Microsoft Defender for Identity.

Co je chybně nakonfigurovaný seznam ACL šablony certifikátu?

Šablony certifikátů jsou objekty služby Active Directory s seznamem ACL, který řídí přístup k objektu. Kromě určení oprávnění k registraci určuje seznam ACL také oprávnění pro úpravy samotného objektu.

Pokud je z nějakého důvodu v seznamu ACL položka, která uděluje předdefinované neprivilegované skupině oprávnění, která umožňují změny nastavení šablon, nežádoucí osoba může zavést chybnou konfiguraci šablony, eskalovat oprávnění a ohrozit celou doménu.

Příklady předdefinovaných neprivilegovaných skupin jsou Ověření uživatelé, Uživatelé domény nebo Všichni. Příklady oprávnění, která umožňují změny nastavení šablony, jsou Úplné řízení nebo Zápis DACL.

Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení organizace?

1. Projděte si doporučenou akci pro https://security.microsoft.com/securescore?viewid=actions chybně nakonfigurovaný seznam ACL šablony certifikátu. Příklady:

   

2. Zjistěte, proč může být seznam ACL šablony nesprávně nakonfigurovaný.

3. Napravte problém odebráním všech položek, které udělují neprivilegovaná oprávnění skupiny umožňující manipulaci se šablonou.

4. Pokud ji nepotřebujete, odeberte šablonu certifikátu, aby ji publikovala jakákoli certifikační autorita.

Před zapnutím v produkčním prostředí nezapomeňte nastavení otestovat v řízeném prostředí.

Poznámka

Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.

Další kroky

• Další informace o skóre zabezpečení Microsoftu
• Podívejte se na fórum Defender for Identity!