Posouzení zabezpečení: Úprava příliš podmíněné šablony certifikátu s privilegovanými EKU (EKU pro libovolný účel nebo bez EKU) (ESC2)
Tento článek popisuje šablonu certifikátu Příliš povolených certifikátů Microsoft Defender for Identity s privilegovaným stavem zabezpečení EKU.
Co je příliš oprávněná šablona certifikátu s privilegovanými EKU?
Digitální certifikáty hrají zásadní roli při vytváření důvěry a zachování integrity v celé organizaci. To platí nejen pro ověřování domény Kerberos, ale i v dalších oblastech, jako je integrita kódu, integrita serveru a technologie, které spoléhají na certifikáty, jako je Active Directory Federation Services (AD FS) (AD FS) a IPSec.
Pokud šablona certifikátu nemá žádné klíče EKU nebo má EKU pro jakýkoli účel a je možné ji zaregistrovat pro všechny neprivilegované uživatele, může certifikáty vydané na základě této šablony zneužít nežádoucí osoba se zlými úmysly, což by ohrozilo důvěryhodnost.
I když certifikát nejde použít k zosobnění ověřování uživatele, ohrožuje ostatní komponenty, které odlehčují digitální certifikáty pro jejich model důvěryhodnosti. Nežádoucí osoby můžou vytvářet certifikáty TLS a zosobnit libovolný web.
Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení organizace?
Projděte si doporučenou akci na adrese, kde https://security.microsoft.com/securescore?viewid=actions najdete příliš přípustné šablony certifikátů s privilegovaným EKU. Příklady:
Zjistěte, proč šablony mají privilegovaný EKU.
Napravte problém následujícím způsobem:
- Omezte příliš oprávnění šablony.
- Pokud je to možné, vynucujte další zmírnění rizik, jako je přidání požadavků na schválení manažerem a podepisování.
Před zapnutím v produkčním prostředí nezapomeňte nastavení otestovat v řízeném prostředí.
Poznámka
Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.