Partager via

Évaluation de la sécurité : Modifier le modèle de certificat de l’agent d’inscription mal configuré (ESC3) (préversion)

  • Article

Cet article décrit le rapport d’évaluation de la posture de sécurité du modèle d’agent d’inscription mal configuré de Microsoft Defender pour Identity.

Qu’est-ce que les modèles de certificat de l’agent d’inscription incorrects ?

En règle générale, les utilisateurs disposent d’un agent d’inscription qui inscrit leurs certificats pour eux. Dans des circonstances spécifiques, les certificats de l’Agent d’inscription peuvent inscrire des certificats pour n’importe quel utilisateur éligible, présentant un risque pour votre organisation.

Lorsque Microsoft Defender pour Identity rapports sur les modèles de certificat de l’Agent d’inscription qui mettent en danger votre organisation, les modèles de l’Agent d’inscription à risque sont répertoriés dans le volet Entités exposées.

Comment faire utiliser cette évaluation de sécurité pour améliorer ma posture de sécurité organisationnelle ?

  1. Passez en revue l’action recommandée pour https://security.microsoft.com/securescore?viewid=actions les modèles de certificat d’agent d’inscription incorrects. Par exemple :

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Corrigez les problèmes en effectuant au moins l’une des étapes suivantes :

    • Supprimez la référence EKU de l’agent de demande de certificat.
    • Supprimez les autorisations d’inscription trop permissives, ce qui permet à tout utilisateur d’inscrire des certificats en fonction de ce modèle de certificat. Les modèles marqués comme vulnérables par Defender pour Identity ont au moins une entrée de liste d’accès qui autorise l’inscription pour un groupe intégré non privilégié, ce qui rend cette opération exploitable par n’importe quel utilisateur. Des exemples de groupes intégrés et non privilégiés sont des utilisateurs authentifiés ou tout le monde.
    • Activez l’exigence d’approbation du Gestionnaire de certificats d’autorité de certification.
    • Supprimez le modèle de certificat d’être publié par n’importe quelle autorité de certification. Les modèles qui ne sont pas publiés ne peuvent pas être demandés et ne peuvent donc pas être exploités.
    • Utilisez les restrictions de l’Agent d’inscription au niveau de l’autorité de certification. Par exemple, vous souhaiterez peut-être restreindre les utilisateurs autorisés à agir en tant qu’agent d’inscription et quels modèles peuvent être demandés.

Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.

Remarque

Bien que les évaluations soient mises à jour en quasi temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités affectées soit mise à jour dans les quelques minutes suivant l’implémentation des recommandations, l’état peut prendre du temps jusqu’à ce qu’il soit marqué comme terminé.

Les rapports affichent les entités affectées des 30 derniers jours. Après cette période, les entités ne sont plus affectées à partir de la liste des entités exposées.

Étapes suivantes