مشاركة عبر


تقييم الأمان: تحرير قالب شهادة عامل التسجيل الذي تم تكوينه بشكل خاطئ (ESC3)

توضح هذه المقالة تقرير تقييم وضع أمان قالب أمان قالب شهادة عامل التسجيل الذي تم تكوينه بشكل خاطئ Microsoft Defender for Identity.

ما هي قوالب شهادة عامل التسجيل التي تم تكوينها بشكل خاطئ؟

عادة ما يكون لدى المستخدمين عامل تسجيل يسجل شهاداتهم لهم. في ظل ظروف محددة، يمكن لشهادات عامل التسجيل تسجيل الشهادات لأي مستخدم مؤهل، ما يشكل خطرا على مؤسستك.

عند Microsoft Defender for Identity تقارير حول قوالب شهادات عامل التسجيل التي تعرض مؤسستك للخطر، يتم سرد قوالب عامل التسجيل الخطرة في جزء الكيانات المكشوفة.

كيف أعمل استخدام تقييم الأمان هذا لتحسين وضعي الأمني التنظيمي؟

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لقوالب شهادة عامل التسجيل التي تم تكوينها بشكل خاطئ. على سبيل المثال:

    لقطة شاشة لتوصيات تحرير قالب شهادة عامل التسجيل الذي تم تكوينه بشكل خاطئ (ESC3).

  2. معالجة المشكلات عن طريق تنفيذ خطوة واحدة على الأقل من الخطوات التالية:

    • قم بإزالة وحدة EKU لعامل طلب الشهادة .
    • قم بإزالة أذونات التسجيل المسموح بها بشكل مفرط، والتي تسمح لأي مستخدم بتسجيل الشهادات استنادا إلى قالب الشهادة هذا. تحتوي القوالب التي تم وضع علامة عليها على أنها عرضة للخطر بواسطة Defender for Identity على إدخال واحد على الأقل لقائمة الوصول يسمح بالتسجيل لمجموعة مضمنة غير مميزة، ما يجعل هذا قابلا للاستغلال من قبل أي مستخدم. أمثلة على المجموعات المضمنة وغير المميزة هي المستخدمين المصادق عليهم أو الجميع.
    • قم بتشغيل متطلبات الموافقة على CA certificate Manager .
    • قم بإزالة قالب الشهادة من النشر بواسطة أي مرجع مصدق. لا يمكن طلب القوالب التي لم يتم نشرها، وبالتالي لا يمكن استغلالها.
    • استخدم قيود عامل التسجيل على مستوى المرجع المصدق. على سبيل المثال، قد ترغب في تقييد المستخدمين المسموح لهم بالعمل كعامل تسجيل، والقوالب التي يمكن طلبها.

تأكد من اختبار الإعدادات في بيئة خاضعة للرقابة قبل تشغيلها في الإنتاج.

ملاحظة

بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.

الخطوات التالية