Biztonsági értékelés: Helytelenül konfigurált regisztrációs ügynök tanúsítványsablonjának (ESC3) szerkesztése (előzetes verzió)
Ez a cikk a Microsoft Defender for Identity helytelenül konfigurált regisztrációs ügynök tanúsítványsablonjának biztonsági helyzetértékelési jelentését ismerteti.
Mik azok a tévesen konfigurált regisztrációs ügynök tanúsítványsablonjai?
A felhasználók általában rendelkeznek egy regisztrációs ügynökkel, amely regisztrálja a tanúsítványaikat. Bizonyos körülmények között a Regisztrációs ügynök tanúsítványai bármilyen jogosult felhasználó tanúsítványait regisztrálhatják, ami kockázatot jelent a szervezet számára.
Amikor a Microsoft Defender for Identity jelentést készít a szervezetet veszélyeztető regisztrációs ügynök tanúsítványsablonjairól, a kockázatos regisztrációs ügynöksablonok a Közzétett entitások panelen jelennek meg.
Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?
Tekintse át az ajánlott műveletet https://security.microsoft.com/securescore?viewid=actions a hibásan konfigurált regisztrációs ügynök tanúsítványsablonjaihoz. Például:
A problémák megoldásához hajtsa végre az alábbi lépések legalább egyikét:
- Távolítsa el a tanúsítványkérelem-ügynök EKU-ját.
- Távolítsa el a túlzottan megengedő regisztrációs engedélyeket, amelyek lehetővé teszik, hogy bármely felhasználó a tanúsítványsablon alapján regisztráljon tanúsítványokat. A Defender for Identity által sebezhetőként megjelölt sablonok legalább egy hozzáférési listabejegyzéssel rendelkeznek, amely lehetővé teszi a beépített, nem hátrányos helyzetű csoportok regisztrációját, így ezt bármely felhasználó kihasználhatja. A beépített, nem hátrányos helyzetű csoportok például a Hitelesített felhasználók vagy a Mindenki.
- Kapcsolja be a hitelesítésszolgáltatói tanúsítványkezelő jóváhagyási követelményét.
- Távolítsa el a tanúsítványsablont attól, hogy bármely hitelesítésszolgáltató közzétejessen. A nem közzétett sablonok nem kérhetők, ezért nem használhatók ki.
- A regisztrációs ügynök korlátozásai a hitelesítésszolgáltató szintjén használhatók. Korlátozhatja például, hogy mely felhasználók használhatnak regisztrációs ügynökként, és mely sablonok kérhetők.
Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.
Megjegyzés:
Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.
A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.