Evaluación de seguridad: edite la plantilla de certificado del agente de inscripción mal configurado (ESC3) (versión preliminar)

  • Artículo

En este artículo se describe el informe de evaluación de la posición de seguridad de la posición de seguridad de la plantilla de certificado del agente de inscripción mal configurado de Microsoft Defender for Identity.

¿Qué son las plantillas de certificado del agente de inscripción mal con confianza?

Normalmente, los usuarios tienen un Agente de inscripción que inscribe sus certificados para ellos. En circunstancias específicas, los certificados del Agente de inscripción pueden inscribir certificados para cualquier usuario apto, lo que supone un riesgo para su organización.

Cuando Microsoft Defender for Identity informa sobre las plantillas de certificado del Agente de inscripción que ponen en peligro su organización, las plantillas de Agente de inscripción de riesgo se muestran en el panel Entidades expuestas .

Cómo usar esta evaluación de seguridad para mejorar mi posición de seguridad de la organización?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para ver las plantillas de certificado del agente de inscripción con confianza incorrecta. Por ejemplo:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Corrija los problemas realizando al menos uno de los pasos siguientes:

    • Quite la EKU del agente de solicitud de certificado .
    • Quite los permisos de inscripción excesivamente permisivos, que permiten a cualquier usuario inscribir certificados en función de esa plantilla de certificado. Las plantillas marcadas como vulnerables por Defender for Identity tienen al menos una entrada de lista de acceso que permite la inscripción para un grupo integrado sin privilegios, lo que hace que cualquier usuario pueda aprovechar esta situación. Algunos ejemplos de grupos integrados y sin privilegios son Usuarios autenticados o Todos.
    • Active el requisito de aprobación del Administrador de certificados de CA.
    • Quite la plantilla de certificado de la publicación de cualquier entidad de certificación. Las plantillas que no están publicadas no se pueden solicitar y, por tanto, no se pueden aprovechar.
    • Use restricciones del Agente de inscripción en el nivel de entidad de certificación. Por ejemplo, puede restringir qué usuarios pueden actuar como agente de inscripción y qué plantillas se pueden solicitar.

Asegúrese de probar la configuración en un entorno controlado antes de activarlos en producción.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos a partir de la implementación de las recomendaciones, el estado puede tardar tiempo hasta que se marque como Completado.

Los informes muestran las entidades afectadas de los últimos 30 días. Después de ese tiempo, las entidades ya no afectadas se quitarán de la lista de entidades expuestas.

Pasos siguientes