Säkerhetsbedömning: Redigera felkonfigurerad certifikatmall för registreringsagent (ESC3) (förhandsversion)

  • Artikel

I den här artikeln beskrivs Microsoft Defender för identitetens felkonfigurerade utvärderingsrapport för certifikatmallen säkerhetsstatus för registreringsagenten .

Vad är felkonfiguration av certifikatmallar för registreringsagenten?

Vanligtvis har användarna en registreringsagent som registrerar sina certifikat åt dem. Under särskilda omständigheter kan registreringsagentcertifikat registrera certifikat för alla berättigade användare, vilket utgör en risk för din organisation.

När Microsoft Defender for Identity rapporterar om registreringsagentcertifikatmallar som äventyrar din organisation visas riskfyllda registreringsagentmallar i fönstret Exponerade entiteter .

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

  1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions felkonfiguration av certifikatmallar för registreringsagenten. Till exempel:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Åtgärda problemen genom att utföra minst ett av följande steg:

    • Ta bort EKU:n för certifikatbegäran .
    • Ta bort behörigheter för alltför tillåtande registrering, vilket gör att alla användare kan registrera certifikat baserat på certifikatmallen. Mallar som markerats som sårbara av Defender for Identity har minst en åtkomstlistepost som tillåter registrering för en inbyggd oprivilegierad grupp, vilket gör detta exploaterbart för alla användare. Exempel på inbyggda, icke-privilegierade grupper är Autentiserade användare eller Alla.
    • Aktivera kravet på ca certificate Manager-godkännande .
    • Ta bort certifikatmallen från att publiceras av en certifikatutfärdare. Mallar som inte har publicerats kan inte begäras och kan därför inte utnyttjas.
    • Använd registreringsagentbegränsningar på certifikatutfärdarnivå. Du kanske till exempel vill begränsa vilka användare som får agera som registreringsagent och vilka mallar som kan begäras.

Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.

Kommentar

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.

Nästa steg