Ocena zabezpieczeń: edytowanie niezabezpieczonych punktów końcowych usług IIS rejestracji certyfikatów usługi ADCS (ESC8)

W tym artykule opisano raport oceny kondycji zabezpieczeń tożsamości punktów końcowych tożsamości punktów końcowych usługi IIS edytuj niezabezpieczony certyfikat usługi ADCS Microsoft Defender for Identity.

Co to są niezabezpieczone punkty końcowe usług IIS rejestracji certyfikatów usługi AD CS?

Usługi certyfikatów Active Directory (AD CS) obsługują rejestrowanie certyfikatów za pomocą różnych metod i protokołów, w tym rejestracji za pośrednictwem protokołu HTTP przy użyciu usługi rejestrowania certyfikatów (CES) lub interfejsu rejestracji internetowej (Certsrv).

Jeśli punkt końcowy usług IIS zezwala na uwierzytelnianie NTLM bez wymuszania podpisywania protokołu (HTTPS) lub bez wymuszania rozszerzonej ochrony na potrzeby uwierzytelniania (EPA), staje się narażony na ataki przekaźnika NTLM (ESC8). Ataki przekaźnika mogą prowadzić do całkowitego przejęcia domeny, jeśli atakującemu uda się go pomyślnie ściągnąć.

Wymagania wstępne

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS. Aby uzyskać więcej informacji, zobacz Konfigurowanie czujników dla usług AD FS i AD CS.

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń organizacji?

Przejrzyj zalecaną akcję pod adresem, https://security.microsoft.com/securescore?viewid=actions aby uzyskać niezabezpieczone punkty końcowe usług IIS rejestracji certyfikatów usługi AD CS.

Ocena zawiera listę problematycznych punktów końcowych HTTP w organizacji oraz wskazówki dotyczące bezpiecznego konfigurowania punktów końcowych.

Po obsłużeniu ryzyko ataku ESC8 jest ograniczane, co znacznie zmniejsza obszar ataków.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Następne kroki

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft
• Zapoznaj się z forum Usługi Defender for Identity!