安全性評估:編輯設定錯誤的註冊代理程式憑證範本 (ESC3) (預覽)
本文說明 適用於身分識別的 Microsoft Defender 設定錯誤的註冊代理程式證書範本安全性狀態評估報告。
什麼是misconfgured註冊代理程式證書範本?
一般而言,使用者具有註冊代理程式,可為其註冊其憑證。 在特定情況下,註冊代理程序憑證可以註冊任何合格用戶的憑證,為您的組織帶來風險。
當 適用於身分識別的 Microsoft Defender 有關危及您組織的註冊代理程式證書範本的報表時,風險性註冊代理程式範本會列在 [公開的實體] 窗格中。
如何? 使用此安全性評定來改善我的組織安全性狀態?
請檢閱 適用於 misconfgured 註冊代理程式證書範本的建議動作 https://security.microsoft.com/securescore?viewid=actions 。 例如:
執行下列至少一個步驟來補救問題:
- 拿掉憑證要求代理程式 EKU。
- 拿掉過度寬鬆的註冊許可權,以允許任何用戶根據該證書範本註冊憑證。 標示為適用於身分識別的Defender易受攻擊的範本至少有一個存取清單專案,可讓任何使用者註冊內建的未特殊許可權群組。 內建、非特殊許可權群組的範例為 「已驗證的使用者 」或 「所有人」。
- 開啟 CA 憑證 管理員核准 需求。
- 拿掉任何 CA 所發佈的證書範本。 無法要求未發佈的範本,因此無法加以利用。
- 在證書頒發機構單位層級使用註冊代理程式限制。 例如,您可能想要限制哪些使用者可以做為註冊代理程式,以及可以要求哪些範本。
在生產環境中開啟設定之前,請務必先在受控制的環境中測試您的設定。
注意
雖然評定會近乎即時地更新,但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間才能將其標示為 已完成。
報告會顯示過去 30 天內受影響的實體。 在那段時間之後,將不再受影響的實體會從公開的實體清單中移除。