Compartilhar via

Avaliação de segurança: Editar um modelo de certificado excessivamente permissivo com EKU privilegiado (EKU para qualquer finalidade ou Sem EKU) (ESC2)

  • Artigo

Este artigo descreve o modelo de certificado excessivamente permissivo do Microsoft Defender para Identidade com o relatório de avaliação da postura de segurança de EKU com privilégios.

O que é um modelo de certificado excessivamente permissivo com EKU privilegiado?

Os certificados digitais desempenham um papel fundamental no estabelecimento da confiança e preservação da integridade em toda a organização. Isto acontece não só na autenticação de domínio Kerberos, mas também noutras áreas, como integridade do código, integridade do servidor e tecnologias que dependem de certificados como Serviços de Federação do Active Directory (AD FS) (AD FS) e IPSec.

Quando um modelo de certificado não tem EKUs ou tem um EKU para Qualquer Finalidade e está inscrito para qualquer utilizador sem privilégios, os certificados emitidos com base nesse modelo podem ser utilizados maliciosamente por um adversário, comprometendo a confiança.

Apesar de o certificado não poder ser utilizado para representar a autenticação do utilizador, compromete outros componentes que aliviam os certificados digitais para o modelo de confiança. Os adversários podem criar certificados TLS e representar qualquer site.

Como fazer utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para modelos de certificados excessivamente permissivos com um EKU privilegiado. Por exemplo:

    Captura de ecrã a mostrar a recomendação Editar modelo de certificado excessivamente permissivo com EKU privilegiado (EKU para qualquer finalidade ou Sem EKU) (ESC2).

  2. Pesquisar por que motivo os modelos têm um EKU privilegiado.

  3. Resolva o problema ao fazer o seguinte:

    • Restringir as permissões excessivamente permissivas do modelo.
    • Imponha mitigações adicionais, como adicionar requisitos de aprovação e assinatura do Gestor , se possível.

Certifique-se de que testa as definições num ambiente controlado antes de as ativar na produção.

Observação

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, a status ainda poderá demorar algum tempo até ser marcada como Concluída.

Próximas etapas