Valutazione della sicurezza: Modificare modelli di certificato non configurati correttamente ACL (ESC4) (anteprima)

Questo articolo descrive il report di valutazione del comportamento di sicurezza dell'ACL del modello di certificato configurato in modo errato di Microsoft Defender per identità.

Che cos'è un elenco di controllo di accesso al modello di certificato non configurato correttamente?

I modelli di certificato sono oggetti Active Directory con un ACL che controlla l'accesso all'oggetto. Oltre a determinare le autorizzazioni di registrazione, l'ACL determina anche le autorizzazioni per la modifica dell'oggetto stesso.

Se per qualsiasi motivo, è presente una voce nell'elenco di controllo di accesso che concede a un gruppo predefinito, senza privilegi con autorizzazioni che consentono modifiche all'impostazione del modello, un antagonista può introdurre una configurazione errata del modello, inoltrare i privilegi e compromettere l'intero dominio.

Esempi di gruppi predefiniti senza privilegi sono Utenti autenticati, Utenti di dominio o Tutti. Esempi di autorizzazioni che consentono le modifiche all'impostazione del modello sono Controllo completo o DACL di scrittura.

Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?

  1. Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per un elenco di controllo di accesso al modello di certificato non configurato correttamente. Ad esempio:

    Screenshot of the Edit misconfigured certificate templates ACL (ESC4) recommendation.

  2. Cercare perché l'ACL del modello potrebbe non essere configurato correttamente.

  3. Correggere il problema rimuovendo tutte le voci che concedono autorizzazioni di gruppo senza privilegi che consentono la manomissione del modello.

  4. Rimuovere il modello di certificato da pubblicare da qualsiasi AUTORITÀ di certificazione, se non sono necessari.

Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.

Nota

Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.

I report mostrano le entità interessate degli ultimi 30 giorni. Dopo tale periodo, le entità non interessate verranno rimosse dall'elenco delle entità esposte.

Passaggi successivi