Jaa

Suojauksen arviointi: Muokkaa väärin määritettyä varmenteiden myöntäjän ACL:ää (ESC7)

  • Artikkeli

Tässä artikkelissa kuvataan Microsoft Defender for Identity virheellisesti määritettyä varmenteiden myöntäjän ACL-suojausasennon arviointiraporttia.

Mikä on virheellisesti määritetty varmenteiden myöntäjän käyttöoikeusalue?

Varmenteiden myöntäjät ylläpitävät käyttöoikeusluetteloita, joissa esitellään varmenteiden myöntäjän roolit ja käyttöoikeudet. Jos käyttöoikeuksien hallintaa ei ole määritetty oikein, kuka tahansa käyttäjä voi joutua häiritsemään varmenteiden myöntäjän asetuksia, kiertämään suojaustoimenpiteitä ja mahdollisesti vaarantamaan koko toimialueen.

Väärin määritetyn käyttöoikeusluettelon vaikutus vaihtelee käytetyn käyttöoikeustyypin mukaan. Esimerkki:

  • Jos vähäosainen käyttäjä pitää hallussaan Varmenteiden hallinta -oikeutta, hän voi hyväksyä odottavat varmennepyynnöt ohittaen Esimiehen hyväksyntävaatimuksen .
  • Hallitse varmenteiden myöntäjää -oikealla käyttäjä voi muokata varmenteiden myöntäjän asetuksia, kuten lisätä Käyttäjän määrittämä SAN -merkinnän (EDITF_ATTRIBUTESUBJECTALTNAME2), luomalla keinotekoisen virheellisen määrityksen, joka saattaa myöhemmin johtaa täydelliseen toimialuekomponentaatioon.

Ennakkovaatimukset

Tämä arviointi on saatavilla vain asiakkaille, jotka asensivat tunnistimen AD CS -palvelimeen. Lisätietoja on artikkelissa Active Directory -varmennepalvelujen (AD CS) uusi tunnistintyyppi.

Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?

  1. Tarkista virheelliset varmenteiden myöntäjän käyttöoikeusluettelot suositelluista toiminnoista osoitteessa https://security.microsoft.com/securescore?viewid=actions . Esimerkki:

    Näyttökuva virheellisesti määritetyn varmenteiden myöntäjän (ESC7) suosituksen muokkaamisesta.

  2. Oheistietoa siitä, miksi varmenteiden myöntäjän käyttöoikeusnimi on määritetty virheellisesti.

  3. Korjaa ongelmat poistamalla kaikki käyttöoikeudet, jotka myöntävät ei-delegoiduille sisäisille ryhmille varmenteiden myöntäjän ja/tai varmenteiden hallinnan käyttöoikeuksia.

Muista testata asetukset hallitussa ympäristössä, ennen kuin otat ne käyttöön tuotannossa.

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.

Seuraavat vaiheet