Partager via

Évaluation de la sécurité : Modifier les modèles de certificats mal configurés ACL (ESC4)

  • Article

Cet article décrit Microsoft Defender pour Identity rapport d’évaluation de la posture de sécurité de la sécurité du modèle de certificat mal configuré.

Qu’est-ce qu’une liste de contrôle d’accès de modèle de certificat mal configurée ?

Les modèles de certificat sont des objets Active Directory avec une liste de contrôle d’accès contrôlant l’accès à l’objet. En plus de déterminer les autorisations d’inscription, l’ACL détermine également les autorisations de modification de l’objet lui-même.

Si, pour une raison quelconque, il existe une entrée dans la liste de contrôle d’accès qui accorde à un groupe intégré et non privilégié des autorisations qui autorisent les modifications de paramètres de modèle, un adversaire peut introduire une mauvaise configuration de modèle, remonter des privilèges et compromettre l’ensemble du domaine.

Les utilisateurs authentifiés, les utilisateurs de domaine ou tout le monde sont des exemples de groupes intégrés et non privilégiés. Les exemples d’autorisations qui autorisent les modifications de paramètres de modèle sont Contrôle total ou Liste de contrôle d’accès en écriture.

Comment faire utiliser cette évaluation de la sécurité pour améliorer la posture de sécurité de mon organisation ?

  1. Passez en revue l’action recommandée à l’adresse https://security.microsoft.com/securescore?viewid=actions pour une liste de contrôle d’accès de modèle de certificat mal configurée. Par exemple :

    Capture d’écran de la recommandation Modifier les modèles de certificats mal configurés ACL (ESC4).

  2. Recherchez pourquoi le modèle ACL peut être mal configuré.

  3. Corrigez le problème en supprimant toute entrée qui accorde des autorisations de groupe non privilégiées qui autorisent la falsification du modèle.

  4. Supprimez le modèle de certificat d’être publié par une autorité de certification s’il n’est pas nécessaire.

Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.

Remarque

Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.

Étapes suivantes