Beveiligingsevaluatie: onveilige IIS-eindpunten voor ADCS-certificaatregistratie bewerken (ESC8)
In dit artikel wordt Microsoft Defender for Identity het evaluatierapport voor de evaluatie van de identiteitsbeveiligingspostuur van iis-eindpunten voor onveilige ADCS-certificaatinschrijving bewerken beschreven.
Wat zijn onveilige IIS-eindpunten voor AD CS-certificaatregistratie?
Active Directory Certificate Services (AD CS) ondersteunt certificaatinschrijving via verschillende methoden en protocollen, waaronder inschrijving via HTTP met behulp van de Certificate Enrollment Service (CES) of de webinschrijvingsinterface (Certsrv).
Als het IIS-eindpunt NTLM-verificatie toestaat zonder protocolondertekening (HTTPS) af te dwingen of zonder uitgebreide beveiliging voor verificatie (EPA) af te dwingen, wordt het kwetsbaar voor NTLM-relayaanvallen (ESC8). Relay-aanvallen kunnen leiden tot volledige domeinovername als een aanvaller erin slaagt om het te verwijderen.
Vereisten
Deze evaluatie is alleen beschikbaar voor klanten die een sensor op een AD CS-server hebben geïnstalleerd. Zie Sensoren configureren voor AD FS en AD CS voor meer informatie.
Hoe kan ik deze beveiligingsevaluatie gebruiken om de beveiligingsstatus van mijn organisatie te verbeteren?
Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor onveilige IIS-eindpunten voor AD CS-certificaatregistratie.
De evaluatie bevat de problematische HTTP-eindpunten in uw organisatie en richtlijnen voor het veilig configureren van de eindpunten.
Eenmaal afgehandeld, wordt het esc8-aanvalsrisico beperkt, waardoor uw kwetsbaarheid voor aanvallen aanzienlijk wordt verminderd.
Opmerking
Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.