Suojauksen arviointi: Muokkaa väärin määritettyjä varmennemalleja ACL (ESC4)
Tässä artikkelissa kuvataan Microsoft Defender for Identity väärin määritetty varmennemalli ACL-suojausasennon arviointiraportti.
Mikä on virheellisesti määritetty varmennemallin käyttöoikeusnimi?
Varmennemallit ovat Active Directory -objekteja, joiden käyttöoikeusluettelo hallitsee objektin käyttöoikeuksia. Rekisteröintioikeuksien määrittämisen lisäksi käyttöoikeuscl määrittää myös oikeudet muokata itse objektia.
Jos käyttöoikeus käyttöoikeusryhmässä on jostakin syystä merkintä, joka myöntää sisäiselle, ei-valtuutettuun ryhmään käyttöoikeudet, jotka mahdollistavat malliasetusten muutokset, vastustaja voi ottaa käyttöön mallin virheellisen määrityksen, eskaloida oikeuksia ja vaarantaa koko toimialueen.
Esimerkkejä sisäisistä, ei-valtuutettuista ryhmistä ovat Todennetut käyttäjät, Toimialueen käyttäjät tai Kaikki. Esimerkkejä käyttöoikeuksista, jotka sallivat malliasetusten muutokset, ovat Täydet oikeudet tai DACL:n kirjoittaminen.
Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?
Tarkista virheellisen varmennemallin käyttöoikeustietueen suositeltu toiminto kohteessa https://security.microsoft.com/securescore?viewid=actions . Esimerkki:
Oheistietoa siitä, miksi ACL-malli on ehkä määritetty väärin.
Korjaa ongelma poistamalla merkintä, joka myöntää ei-valtuutettuja ryhmän käyttöoikeuksia, jotka mahdollistavat mallin peukaloinnin.
Poista varmennemalli mistä tahansa varmenteiden myöntäjästä, jos sitä ei tarvita.
Muista testata asetukset hallitussa ympäristössä, ennen kuin otat ne käyttöön tuotannossa.
Huomautus
Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.