Suojauksen arviointi: Estä käyttäjiä pyytämästä varmennetta, joka on kelvollinen mielivaltaisille käyttäjille varmennemallin perusteella (ESC1) (esikatselu)
Tässä artikkelissa kuvataan Microsoft Defender for Identity estä käyttäjiä pyytämästä varmennetta, joka on kelvollinen mielivaltaisille käyttäjille varmennemallin (ESC1) käyttäjätietojen suojausasennon arviointiraportin perusteella.
Mitä ovat mielivaltaisten käyttäjien varmennepyynnöt?
Jokainen varmenne liitetään entiteettiin sen aihekentän kautta. Varmenteissa on kuitenkin myös Aiheen vaihtoehtoinen nimi (SAN) -kenttä, jonka avulla varmenne voi olla voimassa useissa entiteeteissä.
SAN-kenttää käytetään yleisesti samassa palvelimessa isännöitäville verkkopalveluille, ja se tukee yksittäisen HTTPS-varmenteen käyttöä erillisten varmenteiden sijaan kussakin palvelussa. Kun tietty varmenne on voimassa myös todennusta varten ja sisältää asianmukaisen EKU:n, kuten asiakastodennuksen, sen avulla voidaan todentaa useita eri tilejä.
Jos varmennemallissa On otettu käyttöön Anna pyynnössä -asetus, malli on haavoittuvainen ja hyökkääjät voivat ehkä rekisteröidä varmenteen, joka on kelvollinen mielivaltaisille käyttäjille.
Tärkeää
Jos varmenne on sallittu myös todentamiseen eikä käytössä ole mitään lievennystoimenpiteitä, kuten Esimiehen hyväksyntää tai vaadittuja valtuutettuja allekirjoituksia, varmennemalli on vaarallinen, koska se sallii minkä tahansa valtuuttamattoman käyttäjän ottaa haltuunsa minkä tahansa mielivaltaisen käyttäjän, mukaan lukien toimialueen järjestelmänvalvojan käyttäjän.
Tämä tietty asetus on yksi yleisimmistä virheellisistä määrityksiä.
Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?
Tarkista suositeltu toiminto osoitteessa https://security.microsoft.com/securescore?viewid=actions mielivaltaisten käyttäjien varmennepyynnöille. Esimerkki:
Voit korjata mielivaltaisten käyttäjien varmennepyynnöt suorittamalla vähintään yhden seuraavista toimista:
Poista käytöstä Anna pyynnön määrityksissä .
Poista kaikki ESU:t, jotka mahdollistavat käyttäjän todentamisen, kuten asiakastodentaminen, Smartcard-kirjautuminen, PKINIT-asiakastodennus tai mikä tahansa tarkoitus.
Poista liikaa sallivat rekisteröintioikeudet, joiden avulla kuka tahansa käyttäjä voi rekisteröidä varmenteen tämän varmennemallin perusteella.
Defender for Identityn haavoittuvaksi merkitsemässä varmennemallissa on vähintään yksi käyttöoikeusluettelomerkintä, joka tukee rekisteröitymistä sisäiselle, ei-valtuutettuun ryhmään, joten kuka tahansa käyttäjä voi hyödyntää sitä. Esimerkkejä sisäisistä, ei-valtuutettuista ryhmistä ovat Todennetut käyttäjät tai Kaikki.
Ota käyttöön varmenteiden myöntäjän varmenteen hallinnan hyväksyntävaatimus .
Poista varmennemalli minkä tahansa varmenteiden myöntäjän julkaisemasta. Malleja, joita ei julkaista, ei voi pyytää, joten niitä ei voi hyödyntää.
Muista testata asetukset hallitussa ympäristössä, ennen kuin otat ne käyttöön tuotannossa.
Huomautus
Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.