Dela via

Säkerhetsutvärdering: Redigera en övergiven certifikatmall med privilegierad EKU (EKU för valfritt ändamål eller ingen EKU) (ESC2)

  • Artikel

Den här artikeln beskriver Microsoft Defender for Identity övergiven certifikatmall med privilegierad utvärderingsrapport för EKU-säkerhetsstatus.

Vad är en övergiven certifikatmall med privilegierad EKU?

Digitala certifikat spelar en viktig roll för att skapa förtroende och bevara integriteten i en organisation. Detta gäller inte bara i Kerberos-domänautentisering, utan även inom andra områden, till exempel kodintegritet, serverintegritet och tekniker som förlitar sig på certifikat som Active Directory Federation Services (AD FS) (AD FS) och IPSec.

När en certifikatmall inte har några EKU:er eller har en EKU för valfritt ändamål och den kan registreras för alla användare som inte är privilegierade, kan certifikat som utfärdats baserat på den mallen användas skadligt av en angripare, vilket äventyrar förtroendet.

Även om certifikatet inte kan användas för att personifiera användarautentisering komprometterar det andra komponenter som avlastar digitala certifikat för deras förtroendemodell. Angripare kan skapa TLS-certifikat och personifiera valfri webbplats.

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

  1. Granska den rekommenderade åtgärden på https://security.microsoft.com/securescore?viewid=actions för övergivna certifikatmallar med en privilegierad EKU. Till exempel:

    Skärmbild av rekommendationen Redigera övergivet tillåtande certifikat med privilegierad EKU (Valfritt syfte, EKU eller Ingen EKU) (ESC2).

  2. Undersöka varför mallarna har en privilegierad EKU.

  3. Åtgärda problemet genom att göra följande:

    • Begränsa mallens behörigheter som är alltför tillåtande.
    • Framtvinga extra åtgärder som att lägga till krav för manager-godkännande och signering om det är möjligt.

Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.

Obs!

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Nästa steg