Partager via

Évaluation de la sécurité : Modifier la liste de contrôle d’accès de l’autorité de certification (ESC7) mal configurée

  • Article

Cet article décrit Microsoft Defender pour Identity rapport d’évaluation de la posture de sécurité de la liste de contrôle d’accès de l’autorité de certification mal configurée.

Qu’est-ce qu’une liste de contrôle d’accès d’autorité de certification mal configurée ?

Les autorités de certification gèrent des listes de contrôle d’accès (ACL) qui décrivent les rôles et les autorisations pour l’autorité de certification. Si le contrôle d’accès n’est pas configuré correctement, tout utilisateur peut être autorisé à interférer avec les paramètres de l’autorité de certification, à contourner les mesures de sécurité et potentiellement à compromettre l’ensemble du domaine.

L’effet d’une liste de contrôle d’accès mal configurée varie en fonction du type d’autorisation appliqué. Par exemple :

  • Si un utilisateur non privilégié détient le droit Gérer les certificats , il peut approuver les demandes de certificat en attente, en contournant l’exigence d’approbation du gestionnaire .
  • Avec le droit Gérer l’autorité de certification, l’utilisateur peut modifier les paramètres de l’autorité de certification, par exemple l’ajout de l’indicateur SAN spécifié par l’utilisateur (EDITF_ATTRIBUTESUBJECTALTNAME2), créant une mauvaise configuration artificielle qui peut entraîner par la suite une compromission complète du domaine.

Configuration requise

Cette évaluation est disponible uniquement pour les clients qui ont installé un capteur sur un serveur AD CS. Pour plus d’informations, consultez Nouveau type de capteur pour les services de certificats Active Directory (AD CS).

Comment faire utiliser cette évaluation de la sécurité pour améliorer la posture de sécurité de mon organisation ?

  1. Passez en revue l’action recommandée à l’adresse https://security.microsoft.com/securescore?viewid=actions pour les listes de contrôle d’accès d’autorité de certification mal configurées. Par exemple :

    Capture d’écran de la recommandation Modifier la liste de contrôle d’accès de l’autorité de certification (ESC7) mal configurée.

  2. Recherchez pourquoi l’ACL de l’autorité de certification est mal configurée.

  3. Corrigez les problèmes en supprimant toutes les autorisations qui accordent des groupes intégrés non privilégiés avec les autorisations Gérer l’autorité de certification et/ou Gérer les certificats .

Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.

Remarque

Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.

Étapes suivantes