Sikkerhetsvurdering: Rediger feilkonfigurerte sertifikatmaler ACL (ESC4)

Denne artikkelen beskriver Microsoft Defender for identitet's Feilkonfigurert sertifikat mal ACL sikkerhet holdning vurdering rapport.

Hva er en feilkonfigurert sertifikatmal for ACL?

Sertifikatmaler er Active Directory-objekter med en ACL som kontrollerer tilgangen til objektet. I tillegg til å bestemme registreringstillatelser, bestemmer ACL også tillatelser for å redigere selve objektet.

Hvis det av en eller annen grunn finnes en oppføring i ACL som gir en innebygd, ikke-privilegert gruppe med tillatelser som tillater endringer i malinnstillingene, kan en motstander innføre feilkonfigurering av en mal, eskalere rettigheter og kompromittere hele domenet.

Eksempler på innebygde, ikke-privilegerte grupper er godkjente brukere, domenebrukere eller alle. Eksempler på tillatelser som tillater endringer i malinnstillingene, er Full kontroll eller Skriv DACL.

Hvordan bruke denne sikkerhetsvurderingen til å forbedre min organisatoriske sikkerhetsstilling?

1. Se gjennom den anbefalte handlingen på https://security.microsoft.com/securescore?viewid=actions for en feilkonfigurert sertifikatmal ACL. Eksempel:

   

2. Undersøk hvorfor mal-ACL kan være feilkonfigurert.

3. Utbedr problemet ved å fjerne alle oppføringer som gir ikke-privilegerte gruppetillatelser som tillater manipulering av malen.

4. Fjern sertifikatmalen fra å bli publisert av en sertifiseringsinstans hvis de ikke er nødvendige.

Sørg for å teste innstillingene i et kontrollert miljø før du slår dem på i produksjon.

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Neste trinn

• Mer informasjon om Microsoft Secure Score
• Ta en titt på Defender for Identity-forumet!