Udostępnij za pośrednictwem


Ocena zabezpieczeń: Edytowanie nieprawidłowo skonfigurowanego szablonu certyfikatu agenta rejestracji (ESC3) (wersja zapoznawcza)

W tym artykule opisano raport oceny stanu zabezpieczeń szablonu zabezpieczeń szablonu certyfikatu agenta rejestracji usługi Microsoft Defender for Identity.

Co to są błędne szablony certyfikatów agenta rejestracji?

Zazwyczaj użytkownicy mają agenta rejestracji, który rejestruje dla nich swoje certyfikaty. W określonych okolicznościach certyfikaty agenta rejestracji mogą rejestrować certyfikaty dla dowolnego uprawnionego użytkownika, co stanowi zagrożenie dla organizacji.

Gdy usługa Microsoft Defender for Identity raportuje o szablonach certyfikatów agenta rejestracji, które zagrażają twojej organizacji, szablony ryzykownych agentów rejestracji są wyświetlane w okienku Uwidocznione jednostki .

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić poziom zabezpieczeń organizacji?

  1. Zapoznaj się z zalecaną akcją pod adresem https://security.microsoft.com/securescore?viewid=actions w przypadku błędnie skonfigurowanych szablonów certyfikatów agenta rejestracji. Na przykład:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Koryguj problemy, wykonując co najmniej jedną z następujących czynności:

    • Usuń EKU agenta żądania certyfikatu.
    • Usuń nadmierne uprawnienia rejestracji, które umożliwiają każdemu użytkownikowi rejestrowanie certyfikatów na podstawie tego szablonu certyfikatu. Szablony oznaczone jako podatne na zagrożenia przez usługę Defender for Identity mają co najmniej jeden wpis listy dostępu, który umożliwia rejestrację wbudowanej nieuprzywilejowanej grupy, dzięki czemu może to być wykorzystywane przez dowolnego użytkownika. Przykłady wbudowanych, nieuprzywilejowanych grup to Użytkownicy uwierzytelnieni lub Wszyscy.
    • Włącz wymaganie zatwierdzenia Menedżera certyfikatów urzędu certyfikacji.
    • Usuń szablon certyfikatu z publikowania przez dowolny urząd certyfikacji. Nie można zażądać szablonów, których nie opublikowano, i dlatego nie można ich wykorzystać.
    • Użyj ograniczeń agenta rejestracji na poziomie urzędu certyfikacji. Możesz na przykład ograniczyć, którzy użytkownicy mogą działać jako agent rejestracji, i których szablonów można zażądać.

Pamiętaj, aby przetestować ustawienia w kontrolowanym środowisku przed włączeniem ich w środowisku produkcyjnym.

Uwaga

Chociaż oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Chociaż lista jednostek, których dotyczy ten wpływ, zostanie zaktualizowana w ciągu kilku minut od wdrożenia zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Raporty pokazują jednostki, których dotyczy problem z ostatnich 30 dni. Po tym czasie jednostki, których nie dotyczy problem, zostaną usunięte z listy uwidocznionych jednostek.

Następne kroki