安全性評估：編輯不安全的 ADCS 憑證註冊 IIS 端點 (ESC8)

本文說明 適用於身分識別的 Microsoft Defender 的編輯不安全的 ADCS 憑證註冊 IIS 端點身分識別安全性狀態評估報告。

什麼是不安全的 AD CS 憑證註冊 IIS 端點？

Active Directory 憑證服務 (AD CS) 支援透過各種方法和通訊協定進行憑證註冊，包括使用憑證註冊服務 (CES) 的 HTTP 註冊，或使用 Certsrv) (Web 註冊介面進行註冊。

如果 IIS 端點允許 NTLM 驗證，但未強制執行通訊協定簽署 (HTTPS) 或不強制執行驗證的擴充保護 (的) ，它就很容易受到 NTLM 轉送攻擊 (ESC8) 。 如果攻擊者成功成功將網域接管，轉送攻擊可能會導致完成網域接管。

必要條件

此評量僅適用於已在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊， 請參閱設定AD FS和AD CS的感測器。

如何? 使用此安全性評估來改善我的組織安全性狀態嗎？

如需不安全的 AD CS 憑證註冊 IIS 端點，請檢閱 中的建議動作 https://security.microsoft.com/securescore?viewid=actions 。

評量會列出組織中有問題的 HTTP 端點，以及安全地設定端點的指引。

一旦處理之後，ESC8 攻擊風險就會降低，大幅降低您的受攻擊面。

注意事項

當評量以近乎即時的方式更新時，每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新，但狀態可能需要一些時間，直到標示為已 完成為止。

後續步驟

• 深入瞭解Microsoft安全分數
• 請參閱適用於身分識別的Defender論壇！