Evaluación de seguridad: editar puntos de conexión de IIS de inscripción de certificados ADCS no seguros (ESC8)
En este artículo se describe el informe de evaluación de la posición de seguridad de seguridad de identidad de la inscripción de certificados de ADCS de Microsoft Defender for Identity.
¿Qué son los puntos de conexión de IIS de inscripción de certificados de AD CS no seguros?
Servicios de certificados de Active Directory (AD CS) admite la inscripción de certificados a través de varios métodos y protocolos, incluida la inscripción a través de HTTP mediante el servicio de inscripción de certificados (CES) o la interfaz de inscripción web (Certsrv).
Si el punto de conexión de IIS permite la autenticación NTLM sin aplicar la firma de protocolo (HTTPS) o sin aplicar la protección ampliada para la autenticación (EPA), se vuelve vulnerable a los ataques de retransmisión NTLM (ESC8). Los ataques de retransmisión pueden dar lugar a una adquisición completa del dominio si un atacante logra sacarla correctamente.
Requisitos previos
Esta evaluación solo está disponible para los clientes que han instalado un sensor en un servidor de AD CS. Para obtener más información, consulte Configuración de sensores para AD FS y AD CS.
Cómo usar esta evaluación de seguridad para mejorar la posición de seguridad de mi organización?
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para los puntos de conexión de IIS de inscripción de certificados de AD CS no seguros.
En la evaluación se enumeran los puntos de conexión HTTP problemáticos de la organización y se proporcionan instrucciones para configurar los puntos de conexión de forma segura.
Una vez controlado, el riesgo de ataque ESC8 se mitiga, lo que reduce considerablemente la superficie expuesta a ataques.
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.