Säkerhetsutvärdering: Redigera osäkra ADCS-certifikatregistrerings-IIS-slutpunkter (ESC8)
I den här artikeln beskrivs Microsoft Defender for Identity redigera osäkra ADCS-certifikatregistreringsrapporter för IIS-slutpunkter för utvärdering av identitetssäkerhetsstatus.
Vad är osäkra AD CS-certifikatregistrerings-IIS-slutpunkter?
Active Directory Certificate Services (AD CS) stöder certifikatregistrering via olika metoder och protokoll, inklusive registrering via HTTP med hjälp av certifikatregistreringstjänsten (CES) eller gränssnittet för webbregistrering (Certsrv).
Om IIS-slutpunkten tillåter NTLM-autentisering utan att framtvinga protokollsignering (HTTPS) eller utan att tillämpa Utökat skydd för autentisering (EPA) blir den sårbar för NTLM-reläattacker (ESC8). Reläattacker kan leda till ett fullständigt domänövertagande om en angripare lyckas utföra det.
Förhandskrav
Den här utvärderingen är endast tillgänglig för kunder som har installerat en sensor på en AD CS-server. Mer information finns i Konfigurera sensorer för AD FS och AD CS.
Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?
Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions osäkra AD CS-certifikatregistrerings-IIS-slutpunkter.
Utvärderingen visar de problematiska HTTP-slutpunkterna i din organisation och vägledning för att konfigurera slutpunkterna på ett säkert sätt.
När de väl har hanterats minimeras esc8-attackrisken, vilket minskar din attackyta avsevärt.
Obs!
Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.