Jaa

Suojausarviointi: Muokkaa liikaa sallivaa varmennemallia etuoikeutetulla EKU:lla (mikä tahansa käyttötarkoitus EKU tai ei EKU:ta) (ESC2)

  • Artikkeli

Tässä artikkelissa kuvataan Microsoft Defender for Identity liikaa sallivaa varmennemallia, jossa on etuoikeutettu EKU-suojausasennon arviointiraportti.

Mikä on liikaa salliva varmennemalli, jossa on etuoikeutettu EKU?

Digitaaliset varmenteet ovat tärkeässä roolissa luottamuksen luomisessa ja eheyden säilyttämisessä koko organisaatiossa. Tämä ei pidä paikkaansa vain Kerberos-toimialueen todennuksessa, vaan myös muilla alueilla, kuten koodin eheys, palvelimen eheys ja tekniikat, jotka käyttävät varmenteita, kuten Active Directory -liittoutumispalvelut (AD FS) ja IPSec.

Kun varmennemallilla ei ole EKU:ta tai sillä on Mikä tahansa tarkoitus -EKU ja se on rekisteröitävissä kaikille vähäosaisille käyttäjille, kyseiseen malliin perustuvia varmenteita voi käyttää haitallisesti vastustaja, joka vaarantaa luottamuksen.

Vaikka varmennetta ei voi käyttää käyttäjän todennuksi tekeytymiseen, se vaarantaa muita osia, jotka helpottavat digitaalisia varmenteita heidän luottamusmallilleen. Vastustajat voivat luoda TLS-varmenteita ja tekeytyä mille tahansa verkkosivustolle.

Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?

  1. Tarkista suositeltu toiminto osoitteessa https://security.microsoft.com/securescore?viewid=actions , jos kyseessä on liikaa sallitut varmennemallit, joissa on etuoikeutettu EKU. Esimerkki:

    Näyttökuva Muokkaa liikaa sallittua varmennemallista, jossa on etuoikeutettu EKU (Mikä tahansa käyttötarkoitus EKU tai ei EKU:ta) (ESC2).

  2. Oheistietoa siitä, miksi malleilla on etuoikeutettu EKU.

  3. Korjaa ongelma toimimalla seuraavasti:

    • Rajoita mallin liikaa sallivia käyttöoikeuksia.
    • Ota käyttöön ylimääräisiä lievennyksiä, kuten esimiehen hyväksyntä - ja allekirjoitusvaatimusten lisääminen, jos mahdollista.

Muista testata asetukset hallitussa ympäristössä, ennen kuin otat ne käyttöön tuotannossa.

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.

Seuraavat vaiheet