Compartilhar via

Avaliação de segurança: Editar modelo de certificado de agente de registro configurado incorretamente (ESC3) (Visualização)

  • Artigo

Este artigo descreve o relatório de avaliação de postura de segurança do modelo de certificado de agente de registro configurado incorretamente configurado do Microsoft Defender for Identity.

O que são modelos de certificado de agente de registro incorretos?

Normalmente, os usuários têm um Agente de Registro que registra seus certificados para eles. Em circunstâncias específicas, os certificados do Agente de Registro podem registrar certificados para qualquer usuário qualificado, representando um risco para sua organização.

Quando o Microsoft Defender for Identity relata sobre modelos de certificado do Agente de Registro que colocam em risco sua organização, modelos arriscados do Agente de Registro são listados no painel Entidades expostas.

Como usar essa avaliação de segurança para melhorar minha postura de segurança organizacional?

  1. Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para modelos de certificado de agente de registro confusos incorretamente. Por exemplo:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Corrija os problemas executando pelo menos uma das seguintes etapas:

    • Remova o EKU do agente de solicitação de certificado.
    • Remova permissões de registro excessivamente permissivas, que permitem que qualquer usuário registre certificados com base nesse modelo de certificado. Os modelos marcados como vulneráveis pelo Defender for Identity têm pelo menos uma entrada de lista de acesso que permite o registro para um grupo interno sem privilégios, tornando isso explorável por qualquer usuário. Exemplos de grupos internos sem privilégios são Usuários Autenticados ou Todos.
    • Ative o requisito de aprovação do Gerenciador de certificados da CA.
    • Remova o modelo de certificado de ser publicado por qualquer CA. Os modelos que não são publicados não podem ser solicitados e, portanto, não podem ser explorados.
    • Use as restrições do Agente de Registro no nível da Autoridade de Certificação. Por exemplo, talvez você queira restringir quais usuários têm permissão para atuar como um Agente de Registro e quais modelos podem ser solicitados.

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Observação

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades não mais afetadas serão removidas da lista de entidades expostas.

Próximas etapas