Suojauksen arviointi: Muokkaa suojaamattomia ADCS-varmenteen rekisteröinnin IIS-päätepisteitä (ESC8)
Tässä artikkelissa kuvataan Microsoft Defender for Identity muokkaa suojaamattoman ADCS-varmenteen rekisteröinnin IIS-päätepisteitä, joiden käyttäjätietojen suojauksen tilan arviointiraportti on.
Mitkä ovat suojaamattomia AD CS -varmenteen rekisteröinnin IIS-päätepisteitä?
Active Directory -varmennepalvelut (AD CS) tukevat varmenteen rekisteröintiä erilaisilla menetelmillä ja protokollilla, mukaan lukien rekisteröityminen HTTP:n kautta Certificate Enrollment Servicen (CES) tai Certsrv-liittymän (Web Enrollment Interface) avulla.
Jos IIS-päätepiste sallii NTLM-todennuksen ilman HTTPS-protokollan allekirjoittamisen pakottamista tai ilman laajennettua todentamissuojausta (EPA), se on altis NTLM-välityshyökkäyksille (ESC8). Välityshyökkäykset voivat johtaa toimialueen haltuunottoon, jos hyökkääjä onnistuu suorittamaan sen.
Ennakkovaatimukset
Tämä arviointi on saatavilla vain asiakkaille, jotka ovat asentaneet tunnistimen AD CS -palvelimeen. Lisätietoja on artikkelissa Antureiden määrittäminen AD FS: lle ja AD CS: lle.
Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?
Tarkista suositellut toimet osoitteessa https://security.microsoft.com/securescore?viewid=actions suojaamattoman AD CS -varmenteen rekisteröinnin IIS-päätepisteille.
Arvioinnissa luetellaan organisaatiosi ongelmalliset HTTP-päätepisteet ja annetaan ohjeita päätepisteiden turvalliseen määrittämiseen.
Kun ESC8-hyökkäysriski on käsitelty, se pienenee merkittävästi hyökkäyksen pintaa.
Huomautus
Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.