Beveiligingsevaluatie: onjuist geconfigureerde ACL voor certificeringsinstantie bewerken (ESC7)
In dit artikel wordt het rapport ACL-beveiligingspostuurbeoordeling van Microsoft Defender for Identity onjuist geconfigureerde certificeringsinstantie beschreven.
Wat is een onjuist geconfigureerde ACL voor certificeringsinstantie?
Certificeringsinstanties (CA's) onderhouden toegangsbeheerlijsten (ACL's) met een overzicht van rollen en machtigingen voor de CA. Als toegangsbeheer niet correct is geconfigureerd, kan elke gebruiker de CA-instellingen verstoren, beveiligingsmaatregelen omzeilen en mogelijk het hele domein in gevaar komen.
Het effect van een onjuist geconfigureerde ACL varieert afhankelijk van het type machtiging dat is toegepast. Bijvoorbeeld:
- Als een niet-gemachtigde gebruiker het recht Certificaten beheren heeft, kan deze in behandeling zijnde certificaataanvragen goedkeuren, waarbij de goedkeuringsvereiste voor manager wordt overgeslagen.
- Met het recht CA beheren kan de gebruiker CA-instellingen wijzigen, zoals het toevoegen van de vlag Gebruiker specificeert SAN (
EDITF_ATTRIBUTESUBJECTALTNAME2
), waardoor een kunstmatige onjuiste configuratie wordt gemaakt die later kan leiden tot een volledige domeininbreuk.
Vereisten
Deze evaluatie is alleen beschikbaar voor klanten die een sensor op een AD CS-server hebben geïnstalleerd. Zie Nieuw sensortype voor Active Directory Certificate Services (AD CS) voor meer informatie.
Hoe kan ik deze beveiligingsevaluatie gebruiken om de beveiligingsstatus van mijn organisatie te verbeteren?
Controleer de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor onjuist geconfigureerde ACL's van certificeringsinstantie. Bijvoorbeeld:
Onderzoek waarom de CA-ACL onjuist is geconfigureerd.
Los de problemen op door alle machtigingen te verwijderen die niet-gemachtigde ingebouwde groepen verlenen met ca-beheermachtigingen en/of certificaten beheren .
Test uw instellingen in een gecontroleerde omgeving voordat u ze inschakelt in productie.
Opmerking
Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.