Dela via

Säkerhetsutvärdering: Redigera felkonfigurerad ACL för certifikatutfärdare (ESC7)

  • Artikel

I den här artikeln beskrivs Microsoft Defender for Identity felkonfigurerade certifikatutfärdares utvärderingsrapport för ACL-säkerhetsstatus.

Vad är en felkonfigurerad ACL för certifikatutfärdare?

Certifikatutfärdare (CA) upprätthåller åtkomstkontrollistor (ACL:er) som beskriver roller och behörigheter för certifikatutfärdare. Om åtkomstkontrollen inte är korrekt konfigurerad kan alla användare tillåtas att störa CA-inställningarna, kringgå säkerhetsåtgärder och potentiellt kompromettera hela domänen.

Effekten av en felkonfigurerad ACL varierar beroende på vilken typ av behörighet som tillämpas. Till exempel:

  • Om en oprivilegierad användare har behörigheten Hantera certifikat kan de godkänna väntande certifikatbegäranden och kringgå kravet på manager-godkännande .
  • Med behörigheten Hantera certifikatmottagare kan användaren ändra CA-inställningarna, till exempel lägga till användaren anger SAN-flagga (EDITF_ATTRIBUTESUBJECTALTNAME2), vilket skapar en artificiell felkonfiguration som senare kan leda till en fullständig domänkompromation.

Förhandskrav

Den här utvärderingen är endast tillgänglig för kunder som har installerat en sensor på en AD CS-server. Mer information finns i Ny sensortyp för Active Directory Certificate Services (AD CS).

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

  1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions felkonfigurerade ACL:er för certifikatutfärdare. Till exempel:

    Skärmbild av rekommendationen Redigera felkonfigurerad certifikatutfärdares ACL (ESC7).

  2. Undersöka varför CA ACL är felkonfigurerad.

  3. Åtgärda problemen genom att ta bort alla behörigheter som beviljar inbyggda grupper utan privilegier med behörigheten Hantera CERTIFIKATutfärdare och/eller Hantera certifikat .

Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.

Obs!

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Nästa steg