Condividi tramite

Valutazione della sicurezza: modificare l'elenco di controllo di accesso dell'autorità di certificazione non configurato correttamente (ESC7)

  • Articolo

Questo articolo descrive il report di valutazione del comportamento di sicurezza dell'autorità di certificazione misconfigured di Microsoft Defender per identità.

Che cos'è un ACL autorità di certificazione non configurato correttamente?

Le autorità di certificazione gestiscono elenchi di controllo di accesso (ACL) che descrivono i ruoli e le autorizzazioni per la CA. Se il controllo di accesso non è configurato correttamente, a qualsiasi utente potrebbe essere consentito interferire con le impostazioni della CA, aggirare le misure di sicurezza e compromettere potenzialmente l'intero dominio.

L'effetto di un ACL non configurato correttamente varia in base al tipo di autorizzazione applicata. Ad esempio:

  • Se un utente senza privilegi dispone del diritto Gestisci certificati , può approvare le richieste di certificato in sospeso, ignorando il requisito di approvazione di Manager .
  • Con il diritto Gestisci CA , l'utente può modificare le impostazioni della CA, ad esempio aggiungendo il flag SAN specificato dall'utente (EDITF_ATTRIBUTESUBJECTALTNAME2), creando un errore di configurazione artificiale che in seguito potrebbe causare una completa compromissione del dominio.

Prerequisiti

Questa valutazione è disponibile solo per i clienti che hanno installato un sensore in un server servizi certificati Active Directory. Per altre informazioni, vedere Nuovo tipo di sensore per Servizi certificati Active Directory.

Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?

  1. Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per gli ACL dell'autorità di certificazione non configurati correttamente. Ad esempio:

    Screenshot della raccomandazione Edit misconfigured Certificate Authority ACL (ESC7).

  2. Cercare il motivo per cui l'elenco di controllo di accesso della CA non è configurato correttamente.

  3. Risolvere i problemi rimuovendo tutte le autorizzazioni che concedono gruppi predefiniti senza privilegi con le autorizzazioni Gestisci CA e/o Gestisci certificati .

Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.

Nota

Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.

Passaggi successivi