Ocena zabezpieczeń: edytowanie nieprawidłowo skonfigurowanych szablonów certyfikatów listy ACL (ESC4)
W tym artykule opisano raport oceny stanu zabezpieczeń listy ACL błędnie skonfigurowanego szablonu certyfikatu Microsoft Defender for Identity.
Co to jest nieprawidłowo skonfigurowany szablon certyfikatu listy ACL?
Szablony certyfikatów to obiekty usługi Active Directory z listą ACL kontrolującą dostęp do obiektu. Oprócz określania uprawnień rejestracji lista ACL określa również uprawnienia do edytowania samego obiektu.
Jeśli z jakiegoś powodu na karcie ACL znajduje się wpis, który przyznaje wbudowanej, nieuprzywilejowanej grupie uprawnienia, które zezwalają na zmiany ustawień szablonu, atakujący może wprowadzić błędną konfigurację szablonu, eskalować uprawnienia i naruszyć całą domenę.
Przykładami wbudowanych, nieuprzywilejowanych grup są uwierzytelnieni użytkownicy, użytkownicy domeny lub wszyscy. Przykłady uprawnień, które zezwalają na zmiany ustawień szablonu, to Pełna kontrola lub Zapis listy DACL.
Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń organizacji?
Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby uzyskać nieprawidłowo skonfigurowaną listę ACL szablonu certyfikatu. Przykład:
Zbadaj, dlaczego lista ACL szablonu może zostać błędnie skonfigurowana.
Koryguj problem, usuwając wpis, który przyznaje nieuprzywilejowanym uprawnieniom grupy, które umożliwiają manipulowanie szablonem.
Usuń szablon certyfikatu z publikowania przez dowolny urząd certyfikacji, jeśli nie są one potrzebne.
Przed włączeniem ich w środowisku produkcyjnym należy przetestować ustawienia w kontrolowanym środowisku.
Uwaga
Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.