安全性評估:編輯具有特殊許可權 EKU 的過度寬鬆證書範本 (任何用途 EKU 或沒有 EKU) (ESC2)
本文說明 適用於身分識別的 Microsoft Defender 具有特殊許可權 EKU 安全性狀態評估報告的過度寬鬆憑證範本。
什麼是具有特殊許可權 EKU 的過度寬鬆證書範本?
數字證書在建立信任並保留整個組織的完整性方面扮演著重要的角色。 這不只適用於 Kerberos 網域驗證,也適用於其他領域,例如程式代碼完整性、伺服器完整性,以及依賴 Active Directory 同盟服務 (AD FS) 和 IPSec 等憑證的技術。
當證書範本沒有 EKU 或具有 任何用途 的 EKU,而且可供任何沒有特殊許可權的用戶註冊時,根據該範本發行的憑證可能會遭到攻擊者惡意使用,進而危害信任。
雖然憑證無法用於模擬用戶驗證,但會危害其他可減輕其信任模型數位證書的元件。 敵人可以製作 TLS 憑證並模擬任何網站。
如何? 使用此安全性評估來改善我的組織安全性狀態嗎?
針對具有特殊許可權 EKU 的過度寬鬆證書範本,檢閱 中的建議動作 https://security.microsoft.com/securescore?viewid=actions 。 例如:
![[編輯過度寬鬆憑證] 範本的螢幕快照,其中包含具有特殊許可權的 EKU (任何用途 EKU 或沒有 EKU) (ESC2) 建議。](media/secure-score/permissive-certificate-template.png)
研究範本為何具有具特殊許可權的 EKU。
執行下列動作來補救問題:
- 限制範本的過度寬鬆許可權。
- 盡可能強制執行額外的風險降低措施,例如新增 經理核准 和簽署需求。
![[編輯過度寬鬆憑證] 範本的螢幕快照,其中包含具有特殊許可權的 EKU (任何用途 EKU 或沒有 EKU) (ESC2) 建議。](media/secure-score/permissive-certificate-template.png#lightbox)
在生產環境中開啟設定之前,請務必先在受控制環境中測試設定。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。