Sikkerhedsvurdering: Rediger forkert konfigureret ACL (Certificate Authority ACL) (ESC7)
I denne artikel beskrives Microsoft Defender for Identity's rapport over forkert konfigureret nøglecenterS ACL-sikkerhedsholdning.
Hvad er en forkert konfigureret ACL til nøglecenter?
Nøglecentre bevarer adgangskontrollister, der indeholder roller og tilladelser for nøglecenteret. Hvis adgangskontrol ikke er konfigureret korrekt, kan en bruger få tilladelse til at forstyrre nøglecenterets indstillinger, omgå sikkerhedsforanstaltninger og potentielt kompromittere hele domænet.
Effekten af en forkert konfigureret ACL varierer afhængigt af den type tilladelse, der anvendes. Det kan f.eks. være:
- Hvis en ikke-tildelt bruger har rettigheden Administrer certifikater , kan vedkommende godkende ventende certifikatanmodninger og tilsidesætte kravet til managerens godkendelse .
- Med rettigheden Administrer nøglecenter kan brugeren ændre indstillingerne for nøglecenteret, f.eks. tilføje brugeren angiver SAN-flaget (
EDITF_ATTRIBUTESUBJECTALTNAME2
), oprette en kunstig fejlkonfiguration, der senere kan føre til en komplet kompromitteret domæne.
Forudsætninger
Denne vurdering er kun tilgængelig for kunder, der har installeret en sensor på en AD CS-server. Du kan få flere oplysninger under Ny sensortype for Active Directory Certificate Services (AD CS).
Hvordan gør jeg bruge denne sikkerhedsvurdering til at forbedre min organisations sikkerhedsholdning?
Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for forkert konfigurerede adgangskontrollister for nøglecenter. Det kan f.eks. være:
Undersøg, hvorfor CA ACL er konfigureret forkert.
Løs problemerne ved at fjerne alle tilladelser, der tildeler ikke-tildelte indbyggede grupper med tilladelserne Administrer nøglecenter og/eller Administrer certifikater .
Sørg for at teste dine indstillinger i et kontrolleret miljø, før du aktiverer dem i produktionen.
Bemærk!
Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.