Avaliação de segurança: Editar pontos finais IIS de inscrição de certificados do ADCS inseguros (ESC8)
Este artigo descreve Microsoft Defender para Identidade o relatório de avaliação da postura de segurança de identidade dos pontos finais de identidade dos pontos finais do IIS editar a inscrição de certificados do ADCS insegura.
O que são pontos finais IIS de inscrição de certificados do AD CS inseguros?
Os Serviços de Certificados do Active Directory (AD CS) suportam a inscrição de certificados através de vários métodos e protocolos, incluindo a inscrição através de HTTP através do Serviço de Inscrição de Certificados (CES) ou da interface de Inscrição Web (Certsrv).
Se o ponto final do IIS permitir a autenticação NTLM sem impor a assinatura de protocolo (HTTPS) ou sem impor a Proteção Alargada para Autenticação (EPA), fica vulnerável a ataques de reencaminhamento NTLM (ESC8). Os ataques de reencaminhamento podem levar a uma obtenção completa do domínio se um atacante conseguir fazê-lo com êxito.
Pré-requisitos
Esta avaliação só está disponível para clientes que tenham instalado um sensor num servidor do AD CS. Para obter mais informações, veja Configurar sensores para o AD FS e o AD CS.
Como devo proceder para utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para pontos finais IIS de inscrição de certificados do AD CS inseguros.
A avaliação lista os pontos finais HTTP problemáticos na sua organização e orientações para configurar os pontos finais de forma segura.
Uma vez processado, o risco de ataque ESC8 é mitigado, reduzindo significativamente a superfície de ataque.
Nota
Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, o estado ainda pode demorar algum tempo até estar marcado como Concluído.