Compartir a través de


Evaluación de seguridad: Editar ACL de plantillas de certificado mal configuradas (ESC4)

En este artículo se describe el informe de evaluación de la posición de seguridad de la acl de plantilla de certificado mal configurada de Microsoft Defender for Identity.

¿Qué es una ACL de plantilla de certificado mal configurada?

Las plantillas de certificado son objetos de Active Directory con una ACL que controla el acceso al objeto. Además de determinar los permisos de inscripción, la ACL también determina los permisos para editar el propio objeto.

Si, por cualquier motivo, hay una entrada en la ACL que concede a un grupo integrado sin privilegios permisos que permiten cambios en la configuración de plantilla, un adversario puede introducir una configuración incorrecta de plantilla, escalar privilegios y poner en peligro todo el dominio.

Algunos ejemplos de grupos integrados sin privilegios son Usuarios autenticados, Usuarios de dominio o Todos. Algunos ejemplos de permisos que permiten los cambios de configuración de plantilla son Control total o Escritura de DACL.

Cómo usar esta evaluación de seguridad para mejorar la posición de seguridad de mi organización?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para obtener una ACL de plantilla de certificado mal configurada. Por ejemplo:

    Captura de pantalla de la recomendación Editar plantillas de certificado mal configuradas ACL (ESC4).

  2. Investigue por qué la ACL de plantilla podría estar mal configurada.

  3. Corrija el problema quitando cualquier entrada que conceda permisos de grupo sin privilegios que permitan manipular la plantilla.

  4. Quite la plantilla de certificado de que cualquier entidad de certificación publique si no es necesaria.

Asegúrese de probar la configuración en un entorno controlado antes de activarlas en producción.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Pasos siguientes