Valutazione della sicurezza: modificare gli endpoint IIS di registrazione certificati ADCS non sicuri (ESC8)
Questo articolo descrive il report di valutazione del comportamento di sicurezza dell'identità di Modifica certificato ADCS non sicuro Microsoft Defender per identità.
Che cosa sono gli endpoint IIS di registrazione certificati di Servizi certificati Active Directory non sicuri?
Servizi certificati Active Directory supporta la registrazione dei certificati tramite vari metodi e protocolli, inclusa la registrazione tramite HTTP tramite il servizio registrazione certificati (CES) o l'interfaccia di registrazione Web (Certsrv).
Se l'endpoint IIS consente l'autenticazione NTLM senza applicare la firma del protocollo (HTTPS) o senza applicare la protezione estesa per l'autenticazione (EPA), diventa vulnerabile agli attacchi di inoltro NTLM (ESC8). Gli attacchi di inoltro possono portare a completare l'acquisizione del dominio se un utente malintenzionato riesce a eseguirlo correttamente.
Prerequisiti
Questa valutazione è disponibile solo per i clienti che hanno installato un sensore in un server servizi certificati Active Directory. Per altre informazioni, vedere Configurazione dei sensori per AD FS e AD CS.
Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per gli endpoint IIS di registrazione certificati di Servizi certificati Active Directory non sicuri.
La valutazione elenca gli endpoint HTTP problematici nell'organizzazione e le indicazioni per la configurazione sicura degli endpoint.
Una volta gestito, il rischio di attacco ESC8 viene mitigato, riducendo significativamente la superficie di attacco.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.