セキュリティ評価: 正しく構成されていない登録エージェント証明書テンプレート (ESC3) を編集する (プレビュー)
この記事では、Microsoft Defender for Identity の正しく構成されていない登録エージェント証明書テンプレート のセキュリティ体制評価レポートについて説明します。
誤って構成された登録エージェント証明書テンプレートとは
通常、ユーザーには、証明書を登録する登録エージェントがあります。 特定の状況では、登録エージェント証明書は、対象となるユーザーの証明書を登録でき、組織にリスクが生じます。
組織を危険にさらす登録エージェント証明書テンプレートに関する Microsoft Defender for Identity が報告すると、[公開されたエンティティ] ウィンドウに危険な登録エージェント テンプレートが一覧表示されます。
このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。
誤った構成の登録エージェント証明書テンプレートについて推奨されるアクション https://security.microsoft.com/securescore?viewid=actions を確認します。 次に例を示します。
次の手順のうち少なくとも 1 つを実行して、問題を修復します。
- 証明書要求エージェント EKU を削除します。
- 過度に制限の緩い登録アクセス許可を削除します。これにより、すべてのユーザーは、その証明書テンプレートに基づいて証明書を登録できます。 Defender for Identity によって脆弱としてマークされたテンプレートには、組み込みの特権のないグループの登録を許可するアクセス リスト エントリが少なくとも 1 つ存在し、これを任意のユーザーが悪用できるようにします。 組み込みの特権のないグループの例として、認証済みユーザーまたはすべてのユーザーがあります。
- CA 証明書 マネージャーの承認 要件を有効にします。
- 証明書テンプレートが CA によって発行されないようにします。 発行されていないテンプレートは要求できないため、悪用することはできません。
- 証明機関レベルで登録エージェントの制限を使用します。 たとえば、登録エージェントとして使用できるユーザーと、要求できるテンプレートを制限できます。
運用環境で有効にする前に、制御された環境で設定をテストしてください。
Note
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。
レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。