Posouzení zabezpečení: Úprava nezabezpečených koncových bodů služby IIS pro zápis certifikátů ADCS (ESC8)

Tento článek popisuje sestavu posouzení stavu zabezpečení identity Microsoft Defender for Identity upravit nezabezpečený zápis certifikátu ADCS koncové body služby IIS.

Co jsou nezabezpečené koncové body služby IIS pro zápis certifikátu AD CS?

Služba AD CS (Active Directory Certificate Services) podporuje zápis certifikátů prostřednictvím různých metod a protokolů, včetně zápisu prostřednictvím protokolu HTTP pomocí služby zápisu certifikátů (CES) nebo rozhraní webového zápisu (Certsrv).

Pokud koncový bod služby IIS umožňuje ověřování protokolem NTLM bez vynucení podepisování protokolu (HTTPS) nebo bez vynucování rozšířené ochrany pro ověřování (EPA), stane se zranitelný vůči útokům na přenos přes protokol NTLM (ESC8). Přenosové útoky můžou vést k úplnému převzetí domény, pokud se útočníkovi podaří úspěšně převzít doménu.

Požadavky

Toto hodnocení je dostupné jenom zákazníkům, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Konfigurace senzorů pro služby AD FS a AD CS.

Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení organizace?

Projděte si doporučenou akci pro https://security.microsoft.com/securescore?viewid=actions nezabezpečené koncové body služby IIS pro zápis certifikátu AD CS.

Posouzení obsahuje seznam problematických koncových bodů HTTP ve vaší organizaci a pokyny k bezpečné konfiguraci koncových bodů.

Po zpracování se riziko útoku ESC8 zmírní, čímž se výrazně zmenšuje prostor pro útoky.

Poznámka

Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.

Další kroky

• Další informace o skóre zabezpečení Microsoftu
• Podívejte se na fórum Defender for Identity!