Оценка безопасности: изменение небезопасных конечных точек IIS для регистрации сертификатов ADCS (ESC8)
В этой статье описывается отчет об оценке состояния безопасности удостоверений Microsoft Defender для удостоверений для конечных точек iis для изменения небезопасной регистрации сертификатов ADCS.
Что такое небезопасные конечные точки IIS для регистрации сертификатов AD CS?
Службы сертификатов Active Directory (AD CS) поддерживают регистрацию сертификатов с помощью различных методов и протоколов, включая регистрацию по протоколу HTTP с помощью службы регистрации сертификатов (CES) или интерфейса веб-регистрации (Certsrv).
Если конечная точка IIS разрешает проверку подлинности NTLM без применения подписи протокола (HTTPS) или без применения расширенной защиты для проверки подлинности (EPA), она становится уязвимой для атак ретранслятора NTLM (ESC8). Атаки ретранслятора могут привести к полному захвату домена, если злоумышленнику удастся успешно выполнить его.
Предварительные условия
Эта оценка доступна только клиентам, которые установили датчик на сервере AD CS. Дополнительные сведения см. в разделе Настройка датчиков для AD FS и AD CS.
Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?
Ознакомьтесь с рекомендуемым действием в для https://security.microsoft.com/securescore?viewid=actions небезопасных конечных точек iis регистрации сертификатов AD CS.
В оценке перечислены проблемные конечные точки HTTP в организации и рекомендации по безопасной настройке конечных точек.
После обработки риск атаки ESC8 снижается, что значительно сокращает область атаки.
Примечание.
Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.