Aracılığıyla paylaş

Güvenlik değerlendirmesi: Yanlış yapılandırılmış kayıt aracısı sertifika şablonunu düzenleme (ESC3) (Önizleme)

  • Makale

Bu makalede, Kimlik için Microsoft Defender Yanlış yapılandırılmış kayıt aracısı sertifika şablonu güvenlik duruşu değerlendirme raporu açıklanmaktadır.

Yanlış yapılandırılan kayıt aracısı sertifika şablonları nelerdir?

Genellikle, kullanıcıların sertifikalarını kendileri için kaydeden bir Kayıt Aracısı vardır. Belirli koşullar altında, Kayıt Aracısı sertifikaları uygun kullanıcılar için sertifikaları kaydedebilir ve kuruluşunuz için risk oluşturur.

Kuruluşunuzu tehlikeye atan Kayıt Aracısı sertifika şablonları hakkında Kimlik için Microsoft Defender raporlarda riskli Kayıt Aracısı şablonları Kullanıma Sunulan varlıklar bölmesinde listelenir.

Kurumsal güvenlik duruşumu geliştirmek için bu güvenlik değerlendirmesini Nasıl yaparım? kullanın?

  1. Yanlış yapılandırılan kayıt aracısı sertifika şablonları için adresinde önerilen eylemi https://security.microsoft.com/securescore?viewid=actions gözden geçirin. Örneğin:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Aşağıdaki adımlardan en az birini gerçekleştirerek sorunları düzeltin:

    • Sertifika isteği aracısı EKU'sını kaldırın.
    • Herhangi bir kullanıcının bu sertifika şablonuna göre sertifikaları kaydetmesine olanak tanıyan fazla izin verilen kayıt izinlerini kaldırın. Kimlik için Defender tarafından güvenlik açığı olarak işaretlenen şablonların, yerleşik ayrıcalıksız bir grup için kayda izin veren en az bir erişim listesi girdisi vardır ve bu da bunu herhangi bir kullanıcı tarafından kötüye kullanılabilir hale getirir. Yerleşik ve ayrıcalıksız gruplara örnek olarak Kimliği Doğrulanmış Kullanıcılar veya Herkes verilebilir.
    • CA sertifika Yöneticisi onay gereksinimini açın.
    • Sertifika şablonunun herhangi bir CA tarafından yayımlanmasını kaldırın. Yayımlanmamış şablonlar istenemez ve bu nedenle yararlanılamaz.
    • Sertifika Yetkilisi düzeyinde Kayıt Aracısı kısıtlamalarını kullanın. Örneğin, hangi kullanıcıların Kayıt Aracısı olarak davranmasına izin verileceği ve hangi şablonların istenebileceğini kısıtlamak isteyebilirsiniz.

Ayarlarınızı üretim ortamında açmadan önce denetimli bir ortamda test edin.

Dekont

Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.

Raporlar, son 30 güne ait etkilenen varlıkları gösterir. Bu süreden sonra, bundan etkilenmeyecek varlıklar kullanıma sunulan varlıklar listesinden kaldırılacaktır.

Sonraki adımlar