Поделиться через


Оценка безопасности. Изменение шаблона сертификата агента регистрации неправильно настроенного (ESC3) (предварительная версия)

В этой статье описывается отчет об оценке состояния безопасности шаблона сертификата агента регистрации в неправильной конфигурации агента регистрации Microsoft Defender для удостоверений.

Что такое неправильные шаблоны сертификатов агента регистрации?

Как правило, у пользователей есть агент регистрации, который регистрирует свои сертификаты для них. В определенных обстоятельствах сертификаты агента регистрации могут регистрировать сертификаты для любого соответствующего пользователя, что представляет риск для вашей организации.

Когда Microsoft Defender для удостоверений отчеты о шаблонах сертификатов агента регистрации, которые угрожают вашей организации, шаблоны агента регистрации рисков отображаются на панели доступных сущностей.

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

  1. Ознакомьтесь с рекомендуемым действием https://security.microsoft.com/securescore?viewid=actions для шаблонов сертификатов агента регистрации неправильно. Например:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Исправьте проблемы, выполнив по крайней мере одно из следующих действий:

    • Удалите EKU агента запроса сертификата.
    • Удалите чрезмерно допустимые разрешения регистрации, которые позволяют любому пользователю регистрировать сертификаты на основе этого шаблона сертификата. Шаблоны, помеченные как уязвимые в Defender для удостоверений, имеют по крайней мере одну запись списка доступа, которая позволяет регистрировать встроенную непривилегированную группу, что делает эту эксплуатируемую любым пользователем. Примеры встроенных, непривилегированных групп — "Пользователи с проверкой подлинности" или "Все".
    • Включите требование утверждения диспетчера сертификатов ЦС.
    • Удалите шаблон сертификата из публикации любого ЦС. Шаблоны, которые не публикуются, не могут быть запрошены и поэтому не могут быть использованы.
    • Используйте ограничения агента регистрации на уровне центра сертификации. Например, может потребоваться ограничить, какие пользователи могут выступать в качестве агента регистрации и какие шаблоны можно запрашивать.

Перед включением параметров в рабочей среде обязательно протестируйте параметры в управляемой среде.

Примечание.

Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.

В отчетах отображаются затронутые сущности за последние 30 дней. После этого сущности больше не будут затронуты из списка предоставляемых сущностей.

Следующие шаги