Delen via

Beveiligingsevaluatie: Bewerk te veel toegestane certificaatsjabloon met bevoegde EKU (elk doel of geen EKU) (ESC2)

  • Artikel

In dit artikel wordt Microsoft Defender for Identity's te veel toegestane certificaatsjabloon met bevoegd EKU-beveiligingspostuurbeoordelingsrapport beschreven.

Wat is een te permissieve certificaatsjabloon met bevoegde EKU?

Digitale certificaten spelen een essentiƫle rol bij het tot stand brengen van vertrouwen en het behoud van integriteit in een organisatie. Dit geldt niet alleen voor Kerberos-domeinverificatie, maar ook voor andere gebieden, zoals code-integriteit, serverintegriteit en technologieƫn die afhankelijk zijn van certificaten zoals Active Directory Federation Services (AD FS) en IPSec.

Wanneer een certificaatsjabloon geen EKU's heeft of een Any Purpose EKU heeft en deze kan worden ingeschreven voor elke onbevoegde gebruiker, kunnen certificaten die op basis van die sjabloon zijn uitgegeven, kwaadwillig worden gebruikt door een kwaadwillende gebruiker, waardoor het vertrouwen wordt aangetast.

Hoewel het certificaat niet kan worden gebruikt voor het imiteren van gebruikersverificatie, brengt het andere onderdelen in gevaar die digitale certificaten ontlasten voor hun vertrouwensmodel. Kwaadwillenden kunnen TLS-certificaten maken en elke website imiteren.

Hoe kan ik deze beveiligingsevaluatie gebruiken om de beveiligingsstatus van mijn organisatie te verbeteren?

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor te veel toegestane certificaatsjablonen met een bevoegde EKU. Bijvoorbeeld:

    Schermopname van de aanbeveling Te veel toegestane certificaatsjabloon bewerken met bevoegde EKU (Elk doel of Geen EKU) (ESC2).

  2. Onderzoek waarom de sjablonen een bevoegde EKU hebben.

  3. Ga als volgt te werk om het probleem op te lossen:

    • De machtigingen voor de sjabloon beperken.
    • Dwing indien mogelijk extra risicobeperkingen af, zoals het toevoegen van goedkeurings - en ondertekeningsvereisten voor manager.

Test uw instellingen in een gecontroleerde omgeving voordat u ze inschakelt in productie.

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Volgende stappen