Avaliação de segurança: Editar modelos de certificado configurados incorretamente ACL (ESC4) (Visualização)
Este artigo descreve o relatório de avaliação de postura de segurança da ACL do modelo de certificado configurado incorretamente do Microsoft Defender for Identity.
O que é uma ACL de modelo de certificado mal configurada?
Os modelos de certificado são objetos do Ative Directory com uma ACL que controla o acesso ao objeto. Além de determinar as permissões de registro, a ACL também determina permissões para editar o próprio objeto.
Se, por qualquer motivo, houver uma entrada na ACL que conceda a um grupo interno e sem privilégios permissões que permitam alterações na configuração do modelo, um adversário pode introduzir uma configuração incorreta do modelo, escalar privilégios e comprometer todo o domínio.
Exemplos de grupos internos sem privilégios são Usuários autenticados, Usuários de domínio ou Todos. Exemplos de permissões que permitem alterações na configuração do modelo são Controle total ou Gravar DACL.
Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?
Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para uma ACL de modelo de certificado mal configurada. Por exemplo:
Pesquise por que a ACL do modelo pode estar configurada incorretamente.
Corrija o problema removendo qualquer entrada que conceda permissões de grupo sem privilégios que permitam adulterar o modelo.
Remova o modelo de certificado de ser publicado por qualquer autoridade de certificação se não for necessário.
Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.
Nota
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.
Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que não forem mais afetadas serão removidas da lista de entidades expostas.