セキュリティ評価: 特権 EKU (任意の目的の EKU または EKU なし) を使用して、過度に制限の緩い証明書テンプレートを編集する (ESC2) (プレビュー)
この記事では、特権 EKU セキュリティ体制評価レポートを使用した Microsoft Defender for Identity の過度に制限の少ない証明書テンプレートについて説明します。
特権 EKU を持つ過度に制限の緩い証明書テンプレートとは
デジタル証明書は、信頼を確立し、組織全体の整合性を維持する上で重要な役割を果たします。 これは Kerberos の認証だけでなくメインコードの整合性、サーバーの整合性、Active Directory フェデレーション サービス (AD FS) (AD FS) や IPSec などの証明書に依存するテクノロジなど、他の領域にも当てはまります。
証明書テンプレートに EKU がない場合、または 任意の目的 の EKU があり、特権のないユーザーに登録できる場合、そのテンプレートに基づいて発行された証明書は敵対者によって悪意を持って使用され、信頼が損なわれる可能性があります。
証明書を使用してユーザー認証を偽装することはできませんが、信頼モデルのデジタル証明書を軽減する他のコンポーネントが侵害されます。 敵対者は TLS 証明書を作成し、任意の Web サイトを偽装できます。
このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。
特権 EKU を持つ過度に制限の緩い証明書テンプレートに対して推奨されるアクション https://security.microsoft.com/securescore?viewid=actions を確認します。 次に例を示します。
テンプレートに特権 EKU がある理由を調査します。
次の手順を実行して、問題を修復します。
- テンプレートの過度に制限されたアクセス許可を制限します。
- 可能であれば、マネージャーの承認と署名の要件の追加などの追加の軽減策を適用します。
運用環境で有効にする前に、制御された環境で設定をテストしてください。
Note
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。
レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。