通过

安全评估:编辑配置错误的证书模板 ACL (ESC4) (预览版)

  • 项目

本文介绍 Microsoft Defender for Identity 配置错误的证书模板 ACL 安全状况评估报告。

什么是配置错误的证书模板 ACL?

证书模板是 Active Directory 对象,其 ACL 控制对对象的访问。 除了确定注册权限外,ACL 还确定编辑对象本身的权限。

如果出于任何原因,ACL 中有一个条目,该条目授予具有允许模板设置更改的权限的内置非特权组,攻击者可以引入模板配置错误、提升特权并损害整个域。

内置、非特权组的示例包括 经过身份验证的用户域用户每个人。 允许模板设置更改的权限示例包括 完全控制写入 DACL

如何实现使用此安全评估来改善组织安全状况?

  1. 查看针对配置错误的证书模板 ACL 的建议操作 https://security.microsoft.com/securescore?viewid=actions 。 例如:

    Screenshot of the Edit misconfigured certificate templates ACL (ESC4) recommendation.

  2. 研究模板 ACL 配置错误的原因。

  3. 通过删除授予允许篡改模板的未特权组权限的任何条目来修正此问题。

  4. 如果不需要证书模板,请从任何 CA 发布证书模板。

在生产环境中启用设置之前,请确保在受控环境中测试设置。

注意

虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。

报告显示过去 30 天内受影响的实体。 之后,不再受影响的实体将从公开的实体列表中删除。

后续步骤