Sicherheitsbewertung: Bearbeiten falsch konfigurierter Zertifizierungsstellen-ACL (ESC7) (Vorschau)
In diesem Artikel wird der ACL-Sicherheitsstatusbewertungsbericht der falsch konfigurierten Zertifizierungsstelle von Microsoft Defender for Identity beschrieben.
Was ist eine falsch konfigurierte Zertifizierungsstellen-ACL?
Zertifizierungsstellen (CAs) Standard Zugriffssteuerungslisten (Access Control Lists, ACLs), die Rollen und Berechtigungen für die Zertifizierungsstelle gliederungen. Wenn die Zugriffssteuerung nicht ordnungsgemäß konfiguriert ist, kann jeder Benutzer die Zertifizierungsstelleneinstellungen beeinträchtigen, Sicherheitsmaßnahmen umgehen und die gesamte Vorgehensweise möglicherweise gefährden Standard.
Die Auswirkung einer falsch konfigurierten ACL variiert je nach Art der angewendeten Berechtigung. Beispiel:
- Wenn ein nicht privilegierter Benutzer das Recht zum Verwalten von Zertifikaten besitzt, kann er ausstehende Zertifikatanforderungen genehmigen und die Genehmigungsanforderung des Managers umgehen.
- Mit der Rechten "Zertifizierungsstelle verwalten" kann der Benutzer die Zertifizierungsstelleneinstellungen ändern, z. B. das Hinzufügen des Benutzers gibt das SAN-Flag (
EDITF_ATTRIBUTESUBJECTALTNAME2
), wodurch eine künstliche Fehlkonfiguration erstellt wird, die später zu einer vollständigen Do Standard Kompromittierung führen kann.
Voraussetzungen
Diese Bewertung ist nur für Kunden verfügbar, die einen Sensor auf einem AD CS-Server installiert haben. Weitere Informationen finden Sie unter "Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS)".
Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?
Überprüfen Sie die empfohlene Aktion für https://security.microsoft.com/securescore?viewid=actions falsch konfigurierte Zertifizierungsstellen-ACLs. Beispiel:
Recherchieren Sie, warum die Ca ACL falsch konfiguriert ist.
Beheben Sie die Probleme, indem Sie alle Berechtigungen entfernen, die nicht privilegierte integrierte Gruppen mit Berechtigungen "Zertifizierungsstelle verwalten" und/oder "Zertifikate verwalten" gewähren.
Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.
Hinweis
Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.
In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.