Compartilhar via

Avaliação de segurança: Editar ACL de Autoridade de Certificação (ESC7) configurada incorretamente

  • Artigo

Este artigo descreve Microsoft Defender para Identidade relatório de avaliação da postura de segurança da ACL da autoridade de certificação configurada incorretamente.

O que é uma ACL de Autoridade de Certificação configurada incorretamente?

As Autoridades de Certificação (ACs) mantêm listas de controlo de acesso (ACLs) que descrevem funções e permissões para a AC. Se o controlo de acesso não estiver configurado corretamente, qualquer utilizador poderá ser autorizado a interferir com as definições da AC, contornar as medidas de segurança e potencialmente comprometer todo o domínio.

O efeito de uma ACL configurada incorretamente varia consoante o tipo de permissão aplicada. Por exemplo:

  • Se um utilizador sem privilégios tiver o direito Gerir Certificados , pode aprovar pedidos de certificado pendentes, ignorando o requisito de aprovação do Gestor .
  • Com o direito Gerir AC, o utilizador pode modificar as definições da AC, como adicionar o sinalizador SANEDITF_ATTRIBUTESUBJECTALTNAME2 (), criando uma configuração incorreta artificial que poderá levar posteriormente a um compromisso completo do domínio.

Pré-requisitos

Esta avaliação só está disponível para clientes que instalaram um sensor num servidor do AD CS. Para obter mais informações, veja Novo tipo de sensor para os Serviços de Certificados do Active Directory (AD CS).

Como fazer utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para OBTER ACLs de Autoridade de Certificação configuradas incorretamente. Por exemplo:

    Captura de ecrã a mostrar a recomendação Editar ACL de Autoridade de Certificação (ESC7) configurada incorretamente.

  2. Investigue por que motivo a ACL de AC está mal configurada.

  3. Resolva os problemas ao remover todas as permissões que concedem a grupos incorporados sem privilégios com as permissões Gerir AC e/ou Gerir certificados .

Certifique-se de que testa as definições num ambiente controlado antes de as ativar na produção.

Observação

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, a status ainda poderá demorar algum tempo até ser marcada como Concluída.

Próximas etapas