Freigeben über

Sicherheitsbewertung: Bearbeiten einer falsch konfigurierten Zertifizierungsstellen-ACL (ESC7)

  • Artikel

In diesem Artikel wird Microsoft Defender for Identity Bericht zu falsch konfigurierten ACL-Sicherheitsstatus der Zertifizierungsstelle beschrieben.

Was ist eine falsch konfigurierte Zertifizierungsstellen-ACL?

Zertifizierungsstellen verwalten Zugriffssteuerungslisten (Access Control Lists, ACLs), die Rollen und Berechtigungen für die Zertifizierungsstelle beschreiben. Wenn die Zugriffssteuerung nicht ordnungsgemäß konfiguriert ist, kann jeder Benutzer die Einstellungen der Zertifizierungsstelle beeinträchtigen, Sicherheitsmaßnahmen umgehen und möglicherweise die gesamte Domäne gefährden.

Die Auswirkungen einer falsch konfigurierten Zugriffssteuerungsliste variieren je nach Typ der angewendeten Berechtigung. Zum Beispiel:

  • Wenn ein nicht privilegierter Benutzer das Recht Zertifikate verwalten besitzt, kann er ausstehende Zertifikatanforderungen genehmigen und die Genehmigungsanforderung des Managers umgehen.
  • Mit dem Recht "Zertifizierungsstelle verwalten " kann der Benutzer ZS-Einstellungen ändern, z. B. das Flag "Benutzer gibt SAN an" (EDITF_ATTRIBUTESUBJECTALTNAME2) hinzufügen und eine künstliche Fehlkonfiguration erstellen, die später zu einer vollständigen Gefährdung der Domäne führen kann.

Voraussetzungen

Diese Bewertung ist nur für Kunden verfügbar, die einen Sensor auf einem AD CS-Server installiert haben. Weitere Informationen finden Sie unter Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS).For more information, see New sensor type for Active Directory Certificate Services (AD CS).

Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions für falsch konfigurierte Zertifizierungsstellen-ACLs. Zum Beispiel:

    Screenshot der Empfehlung zum Bearbeiten einer falsch konfigurierten Zertifizierungsstellen-ACL (ESC7).

  2. Untersuchen Sie, warum die Zertifizierungsstellen-ACL falsch konfiguriert ist.

  3. Beheben Sie die Probleme, indem Sie alle Berechtigungen entfernen, die nicht privilegierten integrierten Gruppen die Berechtigungen Zertifizierungsstelle verwalten und/oder Zertifikate verwalten gewähren.

Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.

Hinweis

Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit dauern, bis sie als Abgeschlossen markiert ist.

Nächste Schritte