Оценка безопасности: изменение ACL неправильно настроенных шаблонов сертификатов (ESC4)
В этой статье описывается отчет об оценке состояния безопасности ACL неправильно настроенного шаблона сертификата Microsoft Defender для удостоверений.
Что такое неправильно настроенный ACL шаблона сертификата?
Шаблоны сертификатов — это объекты Active Directory с ACL, управляющим доступом к объекту . Помимо определения разрешений на регистрацию, ACL также определяет разрешения на редактирование самого объекта.
Если по какой-либо причине в ACL есть запись, которая предоставляет встроенную непривилегированную группу с разрешениями, позволяющими изменять шаблон, злоумышленник может ввести неправильно настроенную конфигурацию шаблона, повысить привилегии и скомпрометировать весь домен.
Примерами встроенных непривилегированных групп являются пользователи, прошедшие проверку подлинности, пользователи домена или Все. Примерами разрешений, позволяющих изменять параметры шаблона, являются полный доступ или запись DACL.
Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?
Просмотрите рекомендуемое действие в для https://security.microsoft.com/securescore?viewid=actions неправильно настроенного ACL шаблона сертификата. Например:
Изучите причину неправильной настройки списка ACL шаблона.
Устраните проблему, удалив все записи, которые предоставляют непривилегированные разрешения группы, которые позволяют незаконно использовать шаблон.
Удалите шаблон сертификата из публикации любым центром сертификации, если он не нужен.
Обязательно протестируйте параметры в управляемой среде, прежде чем включать их в рабочей среде.
Примечание.
Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.