Valutazione della sicurezza: modificare un modello di certificato eccessivamente permissivo con EKU con privilegi (EKU per qualsiasi scopo o nessun EKU) (ESC2)
Questo articolo descrive il modello di certificato eccessivamente permissivo di Microsoft Defender per identità con report di valutazione del comportamento di sicurezza EKU con privilegi.
Che cos'è un modello di certificato eccessivamente permissivo con EKU con privilegi?
I certificati digitali svolgono un ruolo fondamentale per stabilire la fiducia e preservare l'integrità in un'organizzazione. Questo vale non solo nell'autenticazione del dominio Kerberos, ma anche in altre aree, ad esempio l'integrità del codice, l'integrità del server e le tecnologie che si basano su certificati come Active Directory Federation Services (AD FS) e IPSec.
Quando un modello di certificato non ha EKU o ha un EKU per qualsiasi scopo ed è registrabile per qualsiasi utente senza privilegi, i certificati rilasciati in base a tale modello possono essere usati in modo dannoso da un antagonista, compromettendo la fiducia.
Anche se il certificato non può essere usato per rappresentare l'autenticazione utente, compromette altri componenti che semplificano i certificati digitali per il modello di attendibilità. Gli avversari possono creare certificati TLS e rappresentare qualsiasi sito Web.
Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per i modelli di certificato eccessivamente permissivi con un EKU con privilegi. Ad esempio:
Cercare il motivo per cui i modelli hanno un EKU con privilegi.
Risolvere il problema eseguendo le operazioni seguenti:
- Limitare le autorizzazioni eccessivamente permissive del modello.
- Applicare mitigazioni aggiuntive, ad esempio l'aggiunta dei requisiti di approvazione e firma di Manager, se possibile.
Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.