Sdílet prostřednictvím

Posouzení zabezpečení: Úprava chybně nakonfigurované šablony certifikátu agenta registrace (ESC3) (Preview)

  • Článek

Tento článek popisuje sestavu posouzení stavu zabezpečení šablon zabezpečení šablony certifikátu agenta registrace v programu Microsoft Defender for Identity for Identity.

Co jsou chybné šablony certifikátů agenta registrace?

Uživatelé obvykle mají agenta registrace, který pro ně zaregistruje své certifikáty. Za určitých okolností můžou certifikáty agenta registrace registrovat certifikáty pro libovolného oprávněného uživatele, což představuje riziko pro vaši organizaci.

Když Microsoft Defender for Identity hlásí šablony certifikátů agenta registrace, které ohrožuje vaši organizaci, zobrazí se v podokně Vystavené entity šablony agenta rizikové registrace.

Návody toto posouzení zabezpečení použít ke zlepšení stavu zabezpečení organizace?

  1. Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions v případě chybně nekongurovaných šablon certifikátů agenta registrace. Příklad:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Opravte problémy provedením alespoň jednoho z následujících kroků:

    • Odeberte EKU agenta žádosti o certifikát.
    • Odeberte nadměrně přístupná oprávnění k registraci, která umožňují všem uživatelům registrovat certifikáty založené na této šabloně certifikátu. Šablony označené jako zranitelné službou Defender for Identity mají aspoň jednu položku přístupového seznamu, která umožňuje registraci pro integrovanou neprivilegovanou skupinu, což zneužitelné libovolným uživatelem. Příklady předdefinovaných, neprivilegovaných skupin jsou Ověření uživatelé nebo Všichni.
    • Zapněte požadavek na schválení správce certifikátů certifikační autority.
    • Odeberte šablonu certifikátu, aby ji publikovala libovolná certifikační autorita. Šablony, které nejsou publikovány, nelze požadovat, a proto je nelze zneužít.
    • Použijte omezení agenta registrace na úrovni certifikační autority. Můžete například chtít omezit, kteří uživatelé můžou fungovat jako agent registrace a které šablony je možné požadovat.

Před zapnutím nastavení v produkčním prostředí nezapomeňte otestovat nastavení v řízeném prostředí.

Poznámka:

I když se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit během několika minut od implementace doporučení aktualizuje, může tento stav chvíli trvat, než se označí jako Dokončeno.

Sestavy zobrazují ovlivněné entity za posledních 30 dnů. Po uplynutí této doby se entity ze seznamu vystavených entit odeberou.

Další kroky