Поделиться через


Оценка безопасности: изменение шаблона слишком разрешительного сертификата с помощью привилегированного EKU (EKU любого назначения или no EKU) (ESC2)

В этой статье описывается шаблон сертификата слишком разрешительного действия Microsoft Defender для удостоверений с привилегированным EKU для оценки состояния безопасности.

Что такое шаблон слишком разрешительного сертификата с привилегированным EKU?

Цифровые сертификаты играют важную роль в установлении доверия и сохранении целостности в организации. Это справедливо не только для проверки подлинности домена Kerberos, но и в других областях, таких как целостность кода, целостность сервера и технологии, использующие сертификаты, такие как службы федерации Active Directory (AD FS) (AD FS) и IPSec.

Если шаблон сертификата не имеет EKU или имеет EKU любого назначения и может быть зарегистрирован для любого непривилегированного пользователя, сертификаты, выданные на основе этого шаблона, могут использоваться злоумышленником, компрометируя доверие.

Несмотря на то, что сертификат не может использоваться для олицетворения проверки подлинности пользователя, он компрометирует другие компоненты, которые освобождают цифровые сертификаты для модели доверия. Злоумышленники могут создавать сертификаты TLS и олицетворять любой веб-сайт.

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

  1. Ознакомьтесь с рекомендуемым действием в для https://security.microsoft.com/securescore?viewid=actions слишком разрешительных шаблонов сертификатов с привилегированным EKU. Например:

    Снимок экрана: рекомендация Изменить шаблон слишком разрешительного сертификата с привилегированным EKU (EKU любого назначения или no EKU) (ESC2).

  2. Изучите, почему шаблоны имеют привилегированный EKU.

  3. Устраните проблему, выполнив следующие действия.

    • Ограничьте слишком разрешительные разрешения шаблона.
    • Применение дополнительных мер, таких как добавление требований к утверждению и подписывание диспетчера, если это возможно.

Обязательно протестируйте параметры в управляемой среде, прежде чем включать их в рабочей среде.

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Дальнейшие действия