Оценка безопасности. Изменение шаблона сертификата агента регистрации неправильно настроенного (ESC3) (предварительная версия)
В этой статье описывается отчет об оценке состояния безопасности шаблона сертификата агента регистрации в неправильной конфигурации агента регистрации Microsoft Defender для удостоверений.
Что такое неправильные шаблоны сертификатов агента регистрации?
Как правило, у пользователей есть агент регистрации, который регистрирует свои сертификаты для них. В определенных обстоятельствах сертификаты агента регистрации могут регистрировать сертификаты для любого соответствующего пользователя, что представляет риск для вашей организации.
Когда Microsoft Defender для удостоверений отчеты о шаблонах сертификатов агента регистрации, которые угрожают вашей организации, шаблоны агента регистрации рисков отображаются на панели доступных сущностей.
Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?
Ознакомьтесь с рекомендуемым действием https://security.microsoft.com/securescore?viewid=actions для шаблонов сертификатов агента регистрации неправильно. Например:
Исправьте проблемы, выполнив по крайней мере одно из следующих действий:
- Удалите EKU агента запроса сертификата.
- Удалите чрезмерно допустимые разрешения регистрации, которые позволяют любому пользователю регистрировать сертификаты на основе этого шаблона сертификата. Шаблоны, помеченные как уязвимые в Defender для удостоверений, имеют по крайней мере одну запись списка доступа, которая позволяет регистрировать встроенную непривилегированную группу, что делает эту эксплуатируемую любым пользователем. Примеры встроенных, непривилегированных групп — "Пользователи с проверкой подлинности" или "Все".
- Включите требование утверждения диспетчера сертификатов ЦС.
- Удалите шаблон сертификата из публикации любого ЦС. Шаблоны, которые не публикуются, не могут быть запрошены и поэтому не могут быть использованы.
- Используйте ограничения агента регистрации на уровне центра сертификации. Например, может потребоваться ограничить, какие пользователи могут выступать в качестве агента регистрации и какие шаблоны можно запрашивать.
Перед включением параметров в рабочей среде обязательно протестируйте параметры в управляемой среде.
Примечание.
Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.
В отчетах отображаются затронутые сущности за последние 30 дней. После этого сущности больше не будут затронуты из списка предоставляемых сущностей.