セキュリティ評価: 安全でない ADCS 証明書登録 IIS エンドポイントを編集する (ESC8)
この記事では、Microsoft Defender for Identityの安全でない ADCS 証明書登録 IIS エンドポイント ID セキュリティ態勢評価レポートを編集する方法について説明します。
安全でない AD CS 証明書登録 IIS エンドポイントとは
Active Directory Certificate Services (AD CS) では、証明書登録サービス (CES) または Web 登録インターフェイス (Certsrv) を使用した HTTP による登録など、さまざまな方法とプロトコルによる証明書の登録がサポートされています。
IIS エンドポイントが、プロトコル署名 (HTTPS) を適用せずに NTLM 認証を許可する場合、または認証のための拡張保護 (EPA) を適用しない場合、NTLM リレー攻撃 (ESC8) に対して脆弱になります。 リレー攻撃は、攻撃者が正常に引き離すために管理している場合、ドメインの完全な引き継ぎにつながる可能性があります。
前提条件
この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが使用できます。 詳細については、「 AD FS と AD CS 用のセンサーの構成」を参照してください。
このセキュリティ評価を使用して、組織のセキュリティ体制を改善操作方法。
安全でない AD CS 証明書登録 IIS エンドポイントの https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。
評価では、organizationの問題のある HTTP エンドポイントと、エンドポイントを安全に構成するためのガイダンスが一覧表示されます。
処理が完了すると、ESC8 攻撃リスクが軽減され、攻撃面が大幅に減少します。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。