Sicherheitsbewertung: Bearbeiten einer übermäßig freizügigen Zertifikatvorlage mit privilegierter EKU (Beliebige EKU oder keine EKU) (ESC2)

In diesem Artikel wird Microsoft Defender for Identity übermäßig freizügige Zertifikatvorlage mit privilegiertem EKU-Sicherheitsstatusbericht beschrieben.

Was ist eine übermäßig freizügige Zertifikatvorlage mit privilegierter EKU?

Digitale Zertifikate spielen eine wichtige Rolle beim Aufbau von Vertrauen und der Wahrung der Integrität während eines organization. Dies gilt nicht nur für die Kerberos-Domänenauthentifizierung, sondern auch für andere Bereiche wie Codeintegrität, Serverintegrität und Technologien, die auf Zertifikaten wie Active Directory-Verbunddienste (AD FS) (AD FS) und IPSec basieren.

Wenn eine Zertifikatvorlage über keine EKUs oder eine Beliebige EKU verfügt und für jeden nicht privilegierten Benutzer registriert werden kann, können zertifikate, die auf der Grundlage dieser Vorlage ausgestellt wurden, böswillig von einem Angreifer verwendet werden, was die Vertrauensstellung gefährdet.

Obwohl das Zertifikat nicht für den Identitätswechsel der Benutzerauthentifizierung verwendet werden kann, kompromittiert es andere Komponenten, die digitale Zertifikate für ihr Vertrauensmodell entlasten. Angreifer können TLS-Zertifikate erstellen und die Identität einer beliebigen Website annehmen.

Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?

1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions für übermäßig freizügige Zertifikatvorlagen mit einer privilegierten EKU. Zum Beispiel:

   

2. Untersuchen Sie, warum die Vorlagen über eine privilegierte EKU verfügen.

3. Beheben Sie das Problem wie folgt:

   • Schränken Sie die übermäßig freizügigen Berechtigungen der Vorlage ein.
   • Erzwingen Sie nach Möglichkeit zusätzliche Entschärfungen wie das Hinzufügen von Genehmigungs - und Signaturanforderungen für Manager.

Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.

Hinweis

Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit dauern, bis sie als Abgeschlossen markiert ist.

Nächste Schritte

• Weitere Informationen zur Microsoft-Sicherheitsbewertung
• Sehen Sie sich das Defender for Identity-Forum an!