Compartir a través de

Evaluación de seguridad: Editar ACL de entidad de certificación mal configurada (ESC7)

  • Artículo

En este artículo se describe el informe de evaluación de la posición de seguridad de acl de la entidad de certificación mal configurada de Microsoft Defender for Identity.

¿Qué es una ACL de entidad de certificación mal configurada?

Las entidades de certificación (CA) mantienen listas de control de acceso (ACL) que describen roles y permisos para la CA. Si el control de acceso no está configurado correctamente, se podría permitir que cualquier usuario interfiera con la configuración de la entidad de certificación, eludiendo las medidas de seguridad y potencialmente poner en peligro todo el dominio.

El efecto de una ACL mal configurada varía en función del tipo de permiso aplicado. Por ejemplo:

  • Si un usuario sin privilegios tiene el derecho Administrar certificados , puede aprobar solicitudes de certificado pendientes, omitiendo el requisito de aprobación del administrador .
  • Con el derecho Administrar entidad de certificación, el usuario puede modificar la configuración de ca, como agregar la marca User especifica SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), lo que crea una configuración incorrecta artificial que podría dar lugar posteriormente a un riesgo de dominio completo.

Requisitos previos

Esta evaluación solo está disponible para los clientes que instalaron un sensor en un servidor de AD CS. Para obtener más información, vea Nuevo tipo de sensor para Servicios de certificados de Active Directory (AD CS).

Cómo usar esta evaluación de seguridad para mejorar la posición de seguridad de mi organización?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para ver las ACL de entidad de certificación mal configuradas. Por ejemplo:

    Captura de pantalla de la recomendación Editar ACL de entidad de certificación mal configurada (ESC7).

  2. Investigue por qué la ACL de CA está mal configurada.

  3. Corrija los problemas quitando todos los permisos que conceden grupos integrados sin privilegios con permisos Administrar CA o Administrar certificados .

Asegúrese de probar la configuración en un entorno controlado antes de activarlas en producción.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Pasos siguientes