Partilhar via

Avaliação de segurança: Editar modelo de certificado de agente de registro (ESC3) configurado incorretamente (Visualização)

  • Artigo

Este artigo descreve o relatório de avaliação de postura de segurança do modelo de postura de segurança do agente de registro configurado incorretamente do Microsoft Defender for Identity.

O que são modelos de certificado de agente de inscrição mal confundidos?

Normalmente, os usuários têm um Agente de Registro que registra seus certificados para eles. Em circunstâncias específicas, os certificados de Agente de Inscrição podem registrar certificados para qualquer usuário qualificado, representando um risco para sua organização.

Quando o Microsoft Defender for Identity relata sobre modelos de certificado do Agente de Inscrição que colocam em risco sua organização, os modelos arriscados do Agente de Registro são listados no painel Entidades expostas.

Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para modelos de certificado de agente de registro confundidos incorretamente. Por exemplo:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Corrija os problemas executando pelo menos uma das seguintes etapas:

    • Remova o EKU do agente de solicitação de certificado.
    • Remova permissões de registro excessivamente permissivas, que permitem que qualquer usuário registre certificados com base nesse modelo de certificado. Os modelos marcados como vulneráveis pelo Defender for Identity têm pelo menos uma entrada de lista de acesso que permite o registro para um grupo interno sem privilégios, tornando isso explorável por qualquer usuário. Exemplos de grupos internos sem privilégios são Usuários autenticados ou Todos.
    • Ative o requisito de aprovação do CA certificate Manager.
    • Remova o modelo de certificado de ser publicado por qualquer autoridade de certificação. Os modelos que não são publicados não podem ser solicitados e, portanto, não podem ser explorados.
    • Use as restrições do Agente de Inscrição no nível da Autoridade de Certificação. Por exemplo, talvez você queira restringir quais usuários têm permissão para atuar como um Agente de Registro e quais modelos podem ser solicitados.

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Nota

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que não forem mais afetadas serão removidas da lista de entidades expostas.

Próximos passos