Share via

Biztonsági értékelés: Helytelenül konfigurált regisztrációs ügynök tanúsítványsablonjának (ESC3) szerkesztése (előzetes verzió)

  • Cikk

Ez a cikk a Microsoft Defender for Identity helytelenül konfigurált regisztrációs ügynök tanúsítványsablonjának biztonsági helyzetértékelési jelentését ismerteti.

Mik azok a tévesen konfigurált regisztrációs ügynök tanúsítványsablonjai?

A felhasználók általában rendelkeznek egy regisztrációs ügynökkel, amely regisztrálja a tanúsítványaikat. Bizonyos körülmények között a Regisztrációs ügynök tanúsítványai bármilyen jogosult felhasználó tanúsítványait regisztrálhatják, ami kockázatot jelent a szervezet számára.

Amikor a Microsoft Defender for Identity jelentést készít a szervezetet veszélyeztető regisztrációs ügynök tanúsítványsablonjairól, a kockázatos regisztrációs ügynöksablonok a Közzétett entitások panelen jelennek meg.

Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?

  1. Tekintse át az ajánlott műveletet https://security.microsoft.com/securescore?viewid=actions a hibásan konfigurált regisztrációs ügynök tanúsítványsablonjaihoz. Például:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. A problémák megoldásához hajtsa végre az alábbi lépések legalább egyikét:

    • Távolítsa el a tanúsítványkérelem-ügynök EKU-ját.
    • Távolítsa el a túlzottan megengedő regisztrációs engedélyeket, amelyek lehetővé teszik, hogy bármely felhasználó a tanúsítványsablon alapján regisztráljon tanúsítványokat. A Defender for Identity által sebezhetőként megjelölt sablonok legalább egy hozzáférési listabejegyzéssel rendelkeznek, amely lehetővé teszi a beépített, nem hátrányos helyzetű csoportok regisztrációját, így ezt bármely felhasználó kihasználhatja. A beépített, nem hátrányos helyzetű csoportok például a Hitelesített felhasználók vagy a Mindenki.
    • Kapcsolja be a hitelesítésszolgáltatói tanúsítványkezelő jóváhagyási követelményét.
    • Távolítsa el a tanúsítványsablont attól, hogy bármely hitelesítésszolgáltató közzétejessen. A nem közzétett sablonok nem kérhetők, ezért nem használhatók ki.
    • A regisztrációs ügynök korlátozásai a hitelesítésszolgáltató szintjén használhatók. Korlátozhatja például, hogy mely felhasználók használhatnak regisztrációs ügynökként, és mely sablonok kérhetők.

Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.

Megjegyzés:

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.

A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.

További lépések