Del via

Sikkerhetsvurdering: Rediger feilkonfigurert Certificate Authority ACL (ESC7)

  • Artikkel

Denne artikkelen beskriver Microsoft Defender for identitet's Misconfigured certificate authority ACL security posture assessment report.

Hva er en feilkonfigurert ACL for sertifiseringsinstans?

Sertifiseringsinstanser (CAer) opprettholder tilgangskontrollister som skisserer roller og tillatelser for sertifiseringsinstansen. Hvis tilgangskontrollen ikke er riktig konfigurert, kan en bruker få lov til å forstyrre CA-innstillingene, omgå sikkerhetstiltak og potensielt kompromittere hele domenet.

Effekten av en feilkonfigurert ACL varierer basert på typen tillatelse som brukes. Eksempel:

  • Hvis en ikke-privilegert bruker har rettigheten Behandle sertifikater , kan vedkommende godkjenne ventende sertifikatforespørsler, utenom godkjenningskravet for overordnet .
  • Med rettigheten Behandle sertifiseringsinstans kan brukeren endre CA-innstillinger, for eksempel legge til brukerens angir SAN-flagg (EDITF_ATTRIBUTESUBJECTALTNAME2), noe som oppretter en kunstig feilkonfigurasjon som senere kan føre til et fullstendig domenekompromisse.

Forutsetninger

Denne vurderingen er bare tilgjengelig for kunder som installerte en sensor på en AD CS-server. Hvis du vil ha mer informasjon, kan du se Ny sensortype for Active Directory Certificate Services (AD CS).

Hvordan bruke denne sikkerhetsvurderingen til å forbedre min organisatoriske sikkerhetsstilling?

  1. Se gjennom den anbefalte handlingen for https://security.microsoft.com/securescore?viewid=actions feilkonfigurerte acler for sertifiseringsinstans. Eksempel:

    Skjermbilde av ACL-anbefalingen (Edit misconfigured Certificate Authority ACL).

  2. Undersøk hvorfor ACL-en for sertifiseringsinstansen er feilkonfigurert.

  3. Utbedr problemene ved å fjerne alle tillatelser som gir ikke-privilegerte innebygde grupper med tillatelsene Behandle sertifiseringsinstans og/eller Behandle sertifikater .

Sørg for å teste innstillingene i et kontrollert miljø før du slår dem på i produksjon.

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Neste trinn