Del via

Sikkerhedsvurdering: Rediger skabelon til alt for tilladt certifikat med privilegeret EKU (Any Purpose EKU or No EKU) (ESC2)

  • Artikel

I denne artikel beskrives Microsoft Defender for Identity's certifikatskabelon med overdrevent tilladte sikkerhedscertifikater med en privilegeret EKU-rapport til vurdering af sikkerhedsholdninger.

Hvad er en alt for eftergivende certifikatskabelon med privilegeret EKU?

Digitale certifikater spiller en vigtig rolle for at skabe tillid og bevare integriteten i hele organisationen. Dette gælder ikke kun i Kerberos-domænegodkendelse, men også på andre områder, f.eks. kodeintegritet, serverintegritet og teknologier, der er afhængige af certifikater som f.eks. AD FS (Active Directory Federation Services) og IPSec.

Når en certifikatskabelon ikke har nogen EKUs eller har en Any Purpose EKU, og den kan tilmeldes for enhver ikke-tildelt bruger, kan certifikater, der er udstedt på baggrund af den pågældende skabelon, bruges skadeligt af en modsatrettet, kompromitterende tillid.

Selvom certifikatet ikke kan bruges til at repræsentere brugergodkendelse, kompromitterer det andre komponenter, der aflaster digitale certifikater for deres tillidsmodel. Modstandere kan udforme TLS-certifikater og repræsentere et hvilket som helst websted.

Hvordan gør jeg bruge denne sikkerhedsvurdering til at forbedre min organisations sikkerhedsholdning?

  1. Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for certifikatskabeloner med en privilegeret EKU, der er for tilladt. Det kan f.eks. være:

    Skærmbillede af skabelonen Rediger alt for tilladt certifikat med privilegeret EKU (Any purpose EKU or No EKU) (ESC2) anbefaling.

  2. Undersøg, hvorfor skabelonerne har en privilegeret EKU.

  3. Afhjælp problemet ved at gøre følgende:

    • Begræns skabelonens tilladelser, der er for tilladte.
    • Gennemtving ekstra afhjælpninger, f.eks. tilføjelse af krav til administratorgodkendelse og signering, hvis det er muligt.

Sørg for at teste dine indstillinger i et kontrolleret miljø, før du aktiverer dem i produktionen.

Bemærk!

Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.

Næste trin