Posouzení zabezpečení: Úprava chybně nakonfigurovaného seznamu ACL certifikační autority (ESC7)
Tento článek popisuje sestavu posouzení stavu zabezpečení seznamu ACL chybně nakonfigurované certifikační autority Microsoft Defender for Identity.
Co je chybně nakonfigurovaný seznam ACL certifikační autority?
Certifikační autority spravují seznamy řízení přístupu (ACL), které popisují role a oprávnění pro certifikační autoritu. Pokud není správně nakonfigurované řízení přístupu, může být každému uživateli povoleno narušovat nastavení certifikační autority, obcházet bezpečnostní opatření a potenciálně ohrozit celou doménu.
Účinek chybně nakonfigurovaného seznamu ACL se liší v závislosti na typu použitého oprávnění. Příklady:
- Pokud má právo Spravovat certifikáty neprivilegovaný uživatel, může schvalovat žádosti o certifikáty čekající na vyřízení a obejít tak požadavek na schválení nadřízeným .
- S právem Spravovat certifikační autoritu může uživatel změnit nastavení certifikační autority, jako je například přidání příznaku SAN (
EDITF_ATTRIBUTESUBJECTALTNAME2
) pro uživatele a vytvoření umělé chybné konfigurace, která může později vést k úplnému ohrožení domény.
Požadavky
Toto hodnocení je dostupné jenom pro zákazníky, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Ad CS (Active Directory Certificate Services).
Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení organizace?
Projděte si doporučenou akci pro https://security.microsoft.com/securescore?viewid=actions chybně nakonfigurované seznamy ACL certifikační autority. Příklady:
Zjistěte, proč je seznam ACL certifikační autority nesprávně nakonfigurovaný.
Odstraňte problémy odebráním všech oprávnění, která udělují neprivilegovaným předdefinovaným skupinám oprávnění spravovat certifikační autoritu nebo spravovat certifikáty .
Před zapnutím v produkčním prostředí nezapomeňte nastavení otestovat v řízeném prostředí.
Poznámka
Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.