安全评估:编辑配置错误的证书模板 ACL (ESC4)

本文介绍Microsoft Defender for Identity的“错误配置证书”模板 ACL 安全态势评估报告。

什么是配置错误的证书模板 ACL?

证书模板是 Active Directory 对象,其 ACL 控制对对象的访问。 除了确定注册权限外,ACL 还确定用于编辑对象本身的权限。

如果出于任何原因,ACL 中有一个条目授予具有允许模板设置更改权限的内置、无特权组,则攻击者可能会引入模板错误配置、升级权限并破坏整个域。

内置、无特权组的示例包括 “经过身份验证的用户”、“ 域用户”“所有人”。 允许模板设置更改的权限示例包括 “完全控制”“写入 DACL”。

如何实现使用此安全评估来改善我的组织安全状况?

  1. 查看 中的 https://security.microsoft.com/securescore?viewid=actions 建议操作,了解配置错误的证书模板 ACL。 例如:

    编辑错误配置的证书模板 ACL (ESC4) 建议的屏幕截图。

  2. 研究模板 ACL 可能配置错误的原因。

  3. 通过删除授予允许篡改模板的无特权组权限的任何条目来解决此问题。

  4. 如果不需要证书模板,则删除任何 CA 发布的证书模板。

在生产环境中打开设置之前,请务必在受控环境中测试设置。

注意

虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新,但状态可能仍需要一段时间才能标记为 “已完成”。

后续步骤