Compartilhar via

Avaliação de segurança: Editar modelos de certificado configurados incorretamente ACL (ESC4)

  • Artigo

Este artigo descreve Microsoft Defender para Identidade relatório de avaliação da postura de segurança da postura de segurança da ACL do modelo de certificado configurado incorretamente.

O que é uma ACL de modelo de certificado configurada incorretamente?

Os modelos de certificado são objetos do Active Directory com uma ACL que controla o acesso ao objeto. Além de determinar as permissões de inscrição, a ACL também determina as permissões para editar o próprio objeto.

Se, por algum motivo, existir uma entrada na ACL que concede a um grupo incorporado e sem privilégios permissões que permitem alterações na definição do modelo, um adversário pode introduzir uma configuração incorreta do modelo, escalar privilégios e comprometer todo o domínio.

Exemplos de grupos incorporados e sem privilégios são Utilizadores autenticados, Utilizadores de domínio ou Todos. Exemplos de permissões que permitem alterações de definição de modelo são Controlo total ou DACL de Escrita.

Como fazer utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para obter uma ACL de modelo de certificado configurada incorretamente. Por exemplo:

    Captura de ecrã a mostrar a recomendação Editar modelos de certificado configurados incorretamente ACL (ESC4).

  2. Pesquisar o motivo pelo qual a ACL de modelo pode estar configurada incorretamente.

  3. Resolva o problema ao remover qualquer entrada que conceda permissões de grupo sem privilégios que permitam adulterar o modelo.

  4. Remova o modelo de certificado de ser publicado por qualquer AC, se não for necessário.

Certifique-se de que testa as definições num ambiente controlado antes de as ativar na produção.

Observação

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, a status ainda poderá demorar algum tempo até ser marcada como Concluída.

Próximas etapas