Sikkerhetsvurdering: Rediger feilkonfigurert eier av sertifikatmaler (ESC4)

Denne artikkelen gir en oversikt over Microsoft Defender for identitet's Feilkonfigurert sertifikat maler eier (ESC4) sikkerhet holdning vurdering rapport.

Hva er en feilkonfigurert sertifikatmaleier?

En sertifikatmal er et Active Directory-objekt med en eier, som styrer tilgangen til objektet og muligheten til å redigere objektet.

Hvis eiertillatelsene gir en innebygd, ikke-privilegert gruppe tillatelser som tillater endringer i malinnstillingene, kan en motstander introdusere feilkonfigurering av en mal, eskalere rettigheter og kompromittere hele domenet.

Eksempler på innebygde, ikke-privilegerte grupper er godkjente brukere, domenebrukere eller alle. Eksempler på tillatelser som tillater endringer i malinnstillingene, er Full kontroll eller Skriv DACL.

Hvordan bruke denne sikkerhetsvurderingen til å forbedre min organisatoriske sikkerhetsstilling?

1. Se gjennom den anbefalte handlingen for https://security.microsoft.com/securescore?viewid=actions en feilkonfigurert sertifikatmaleier. Eksempel:

   

2. Undersøk hvorfor eieren av malen kan være feilkonfigurert.

3. Utbedr problemet ved å endre eieren til en privilegert og overvåket bruker.

Sørg for å teste innstillingene i et kontrollert miljø før du slår dem på i produksjon.

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Neste trinn

• Mer informasjon om Microsoft Secure Score
• Ta en titt på Defender for Identity-forumet!