Sikkerhetsvurdering: Rediger altfor tillatt sertifikatmal med privilegert EKU (Any purpose EKU eller No EKU) (ESC2)
Denne artikkelen beskriver Microsoft Defender for identitet's Overly permissive certificate template with privileged EKU security posture assessment report.
Hva er en altfor tillatt sertifikatmal med privilegert EKU?
Digitale sertifikater spiller en viktig rolle i å etablere tillit og bevare integriteten i en organisasjon. Dette gjelder ikke bare i Kerberos-domenegodkjenning, men også på andre områder, for eksempel kodeintegritet, serverintegritet og teknologier som er avhengige av sertifikater som Active Directory Federation Services (AD FS) og IPSec.
Når en sertifikatmal ikke har noen EKU-er eller har en Any Purpose EKU, og den kan registreres for alle ikke-privilegerte brukere, kan sertifikater som er utstedt basert på denne malen, brukes ondsinnet av en motstander, noe som kompromitterer tilliten.
Selv om sertifikatet ikke kan brukes til å representere brukergodkjenning, går det på akkord med andre komponenter som lindrer digitale sertifikater for klareringsmodellen. Motstandere kan lage TLS-sertifikater og representere et hvilket som helst nettsted.
Hvordan bruke denne sikkerhetsvurderingen til å forbedre min organisatoriske sikkerhetsstilling?
Se gjennom den anbefalte handlingen https://security.microsoft.com/securescore?viewid=actions for altfor tillatte sertifikatmaler med en privilegert EKU. Eksempel:
Undersøk hvorfor malene har en privilegert EKU.
Utbedr problemet ved å gjøre følgende:
- Begrens malens altfor tillatte tillatelser.
- Fremtving ekstra begrensninger som å legge til godkjennings - og signeringskrav for Manager hvis mulig.
Sørg for å teste innstillingene i et kontrollert miljø før du slår dem på i produksjon.
Obs!
Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.