Compartir a través de

Evaluación de seguridad: edite una plantilla de certificado excesivamente permisiva con EKU con privilegios (EKU de cualquier propósito o sin EKU) (ESC2)

  • Artículo

En este artículo se describe la plantilla de certificado excesivamente permisiva de Microsoft Defender for Identity con un informe de evaluación de la posición de seguridad de EKU con privilegios.

¿Qué es una plantilla de certificado excesivamente permisiva con EKU con privilegios?

Los certificados digitales desempeñan un papel fundamental en el establecimiento de la confianza y la conservación de la integridad en toda una organización. Esto sucede no solo en la autenticación de dominio Kerberos, sino también en otras áreas, como la integridad del código, la integridad del servidor y las tecnologías que se basan en certificados como Servicios de federación de Active Directory (AD FS) (AD FS) e IPSec.

Cuando una plantilla de certificado no tiene EKU o tiene un EKU de cualquier propósito y es inscriptable para cualquier usuario sin privilegios, los certificados emitidos basados en esa plantilla pueden ser utilizados malintencionadamente por un adversario, lo que pone en peligro la confianza.

Aunque el certificado no se puede usar para suplantar la autenticación de usuario, pone en peligro otros componentes que liberan certificados digitales para su modelo de confianza. Los adversarios pueden crear certificados TLS y suplantar cualquier sitio web.

Cómo usar esta evaluación de seguridad para mejorar la posición de seguridad de mi organización?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para las plantillas de certificado excesivamente permisivas con un EKU con privilegios. Por ejemplo:

    Captura de pantalla de la recomendación Editar una plantilla de certificado excesivamente permisiva con EKU con privilegios (EKU de cualquier propósito o No EKU) (ESC2).

  2. Investigue por qué las plantillas tienen un EKU con privilegios.

  3. Corrija el problema haciendo lo siguiente:

    • Restrinja los permisos excesivamente permisivos de la plantilla.
    • Aplique mitigaciones adicionales, como agregar requisitos de aprobación y firma del Administrador , si es posible.

Asegúrese de probar la configuración en un entorno controlado antes de activarlas en producción.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Pasos siguientes