Udostępnij za pośrednictwem

Ocena zabezpieczeń: Edytuj nadmiernie permisywny szablon certyfikatu przy użyciu uprzywilejowanej jednostki EKU (EKU dowolnego przeznaczenia lub bez EKU) (ESC2)

  • Artykuł

W tym artykule opisano zbyt permisywny szablon certyfikatu Microsoft Defender for Identity z uprzywilejowanym raportem oceny stanu zabezpieczeń EKU.

Co to jest zbyt permisywny szablon certyfikatu z uprzywilejowaną jednostką EKU?

Certyfikaty cyfrowe odgrywają istotną rolę w ustanawianiu zaufania i zachowaniu integralności w całej organizacji. Dotyczy to nie tylko uwierzytelniania w domenie Kerberos, ale także w innych obszarach, takich jak integralność kodu, integralność serwera i technologie, które opierają się na certyfikatach, takich jak Active Directory Federation Services (AD FS) i IPSec.

Jeśli szablon certyfikatu nie ma jednostek EKU lub ma jednostkę EKU dowolnego przeznaczenia i można go zarejestrować dla dowolnego nieuprzywilejowanego użytkownika, certyfikaty wystawione na podstawie tego szablonu mogą być złośliwie używane przez przeciwnika, co zagraża zaufaniu.

Mimo że certyfikatu nie można użyć do personifikacji uwierzytelniania użytkownika, narusza on inne składniki zwalniające certyfikaty cyfrowe dla modelu zaufania. Osoby atakujące mogą tworzyć certyfikaty protokołu TLS i personifikować dowolną witrynę internetową.

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń organizacji?

  1. Zapoznaj się z zalecaną akcją pod adresem https://security.microsoft.com/securescore?viewid=actions , aby uzyskać zbyt permisywne szablony certyfikatów z uprzywilejowaną jednostką EKU. Przykład:

    Zrzut ekranu przedstawiający zalecenie Edytuj nadmiernie permisywny szablon certyfikatu z uprzywilejowaną jednostką EKU (EKU dowolnego przeznaczenia lub bez EKU) (ESC2).

  2. Zbadaj, dlaczego szablony mają uprzywilejowaną jednostkę EKU.

  3. Skoryguj problem, wykonując następujące czynności:

    • Ogranicz nadmiernie permisywne uprawnienia szablonu.
    • Wymuś dodatkowe środki zaradcze, takie jak dodawanie wymagań dotyczących zatwierdzania i podpisywania menedżera, jeśli to możliwe.

Przed włączeniem ich w środowisku produkcyjnym należy przetestować ustawienia w kontrolowanym środowisku.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Następne kroki