보안 평가: 잘못 구성된 등록 에이전트 인증서 템플릿 편집(ESC3)(미리 보기)
이 문서에서는 Id용 Microsoft Defender의 잘못 구성된 등록 에이전트 인증서 템플릿 보안 상태 평가 보고서에 대해 설명합니다.
구성되지 않은 등록 에이전트 인증서 템플릿이란?
일반적으로 사용자에게는 인증서를 등록하는 등록 에이전트가 있습니다. 특정 상황에서 등록 에이전트 인증서는 적격 사용자에 대한 인증서를 등록하여 조직에 위험을 초래할 수 있습니다.
Microsoft Defender for Identity가 조직을 위험에 빠뜨리는 등록 에이전트 인증서 템플릿에 대해 보고하면 노출된 엔터티 창에 위험한 등록 에이전트 템플릿이 나열됩니다.
이 보안 평가를 사용하여 조직의 보안 상태를 개선할 어떻게 할까요? 있나요?
구성되지 않은 등록 에이전트 인증서 템플릿에 대한 권장 작업을 https://security.microsoft.com/securescore?viewid=actions 검토합니다. 예시:
다음 단계 중 하나 이상을 수행하여 문제를 해결합니다.
- 인증서 요청 에이전트 EKU를 제거합니다.
- 사용자가 해당 인증서 템플릿을 기반으로 인증서를 등록할 수 있도록 허용하는 지나치게 허용되는 등록 권한을 제거합니다. Defender for Identity에서 취약한 것으로 표시된 템플릿에는 권한이 없는 기본 제공 그룹에 대한 등록을 허용하는 하나 이상의 액세스 목록 항목이 있으므로 모든 사용자가 이를 악용할 수 있습니다. 권한 없는 기본 제공 그룹의 예로는 인증된 사용자 또는 모든 사용자가 있습니다.
- CA 인증서 관리자 승인 요구 사항을 켭니다.
- CA에서 인증서 템플릿을 게시하지 않도록 제거합니다. 게시되지 않은 템플릿은 요청할 수 없으므로 악용할 수 없습니다.
- 인증 기관 수준에서 등록 에이전트 제한을 사용합니다. 예를 들어 등록 에이전트 역할을 할 수 있는 사용자와 요청할 수 있는 템플릿을 제한할 수 있습니다.
프로덕션 환경에서 설정을 켜기 전에 제어된 환경에서 설정을 테스트해야 합니다.
참고 항목
평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.
보고서에는 지난 30일 동안의 영향을 받는 엔터티가 표시됩니다. 이 시간 이후에는 더 이상 영향을 받지 않는 엔터티가 노출된 엔터티 목록에서 제거됩니다.