セキュリティ評価: 特権 EKU (Any purpose EKU または No EKU) (ESC2) を使用して、過度に許容される証明書テンプレートを編集します
この記事では、特権 EKU セキュリティ体制評価レポートMicrosoft Defender for Identityの過剰に制限された証明書テンプレートについて説明します。
特権 EKU を持つ過度に許容される証明書テンプレートとは
デジタル証明書は、信頼を確立し、organization全体の整合性を維持する上で重要な役割を果たします。 これは、Kerberos ドメイン認証だけでなく、コードの整合性、サーバーの整合性、Active Directory フェデレーション サービス (AD FS) (AD FS) や IPSec などの証明書に依存するテクノロジなど、他の領域でも当てはまります。
証明書テンプレートに EKU がないか、 任意の目的 の EKU があり、特権のないユーザーに登録できる場合、そのテンプレートに基づいて発行された証明書は敵対者によって悪意を持って使用され、信頼が損なわれる可能性があります。
証明書を使用してユーザー認証を偽装することはできませんが、信頼モデルのデジタル証明書を軽減する他のコンポーネントが侵害されます。 敵対者は、TLS 証明書を作成し、任意の Web サイトを偽装できます。
このセキュリティ評価を使用して、組織のセキュリティ体制を改善操作方法。
特権 EKU を持つ過剰に制限された証明書テンプレートについては、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認してください。 以下に例を示します。
テンプレートに特権 EKU がある理由を調査します。
次の手順を実行して、問題を修復します。
- テンプレートの過度に制限されたアクセス許可を制限します。
- 可能であれば、 マネージャーの承認 と署名の要件を追加するなどの追加の軽減策を適用します。
運用環境でオンにする前に、制御された環境で設定をテストしてください。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。