Condividi tramite

Valutazione della sicurezza: modificare i modelli di certificato non configurati correttamente ACL (ESC4)

  • Articolo

Questo articolo descrive il report di valutazione del comportamento di sicurezza del modello di certificato misconfigured di Microsoft Defender per identità.This article describes Microsoft Defender per identità's Misconfigured certificate template ACL security posture assessment report.

Che cos'è un elenco di controllo di accesso del modello di certificato non configurato correttamente?

I modelli di certificato sono oggetti Active Directory con un ACL che controlla l'accesso all'oggetto. Oltre a determinare le autorizzazioni di registrazione, l'ACL determina anche le autorizzazioni per la modifica dell'oggetto stesso.

Se per qualsiasi motivo, nell'elenco di controllo di accesso è presente una voce che concede un gruppo predefinito senza privilegi con autorizzazioni che consentono modifiche all'impostazione del modello, un antagonista può introdurre un errore di configurazione del modello, inoltrare i privilegi e compromettere l'intero dominio.

Esempi di gruppi predefiniti senza privilegi sono Utenti autenticati, Utenti di dominio o Tutti. Esempi di autorizzazioni che consentono modifiche alle impostazioni del modello sono Controllo completo o DACL di scrittura.

Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?

  1. Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per un elenco di controllo di accesso del modello di certificato non configurato correttamente. Ad esempio:

    Screenshot della raccomandazione Edit misconfigured certificate templates ACL (ESC4).

  2. Cercare il motivo per cui l'elenco di controllo di accesso del modello potrebbe non essere configurato correttamente.

  3. Risolvere il problema rimuovendo qualsiasi voce che concede autorizzazioni di gruppo senza privilegi che consentono la manomissione del modello.

  4. Rimuovere il modello di certificato da pubblicare da qualsiasi AUTORITÀ di certificazione, se non è necessario.

Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.

Nota

Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.

Passaggi successivi