安全评估:编辑配置错误的注册代理证书模板 (ESC3) (预览版)
本文介绍 Microsoft Defender for Identity 配置错误的注册代理证书证书模板 安全状况评估报告。
什么是 misconfgured 注册代理证书模板?
通常,用户有一个注册代理,用于为其注册其证书。 在特定情况下,注册代理证书可以为任何符合条件的用户注册证书,从而给组织造成风险。
当 Microsoft Defender for Identity 报告危及组织的注册代理证书模板时,风险注册代理模板将列在 “公开的实体 ”窗格中。
如何实现使用此安全评估来改善组织安全状况?
查看有关 misconfgured 注册代理证书模板的建议操作 https://security.microsoft.com/securescore?viewid=actions 。 例如:
通过执行以下步骤中的至少一个步骤来修正问题:
- 删除证书请求代理 EKU。
- 删除过度宽松的注册权限,该权限允许任何用户基于该证书模板注册证书。 被 Defender for Identity 标记为易受攻击的模板至少有一个访问列表条目,允许注册内置非特权组,使此可供任何用户利用。 内置非特权组的示例包括 “经过身份验证的用户 ”或 “每个人”。
- 启用 CA 证书 管理器审批 要求。
- 从任何 CA 发布证书模板中删除。 无法请求未发布的模板,因此无法利用。
- 在证书颁发机构级别使用注册代理限制。 例如,你可能想要限制允许哪些用户充当注册代理,以及可以请求哪些模板。
在生产环境中启用设置之前,请确保在受控环境中测试设置。
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。
报告显示过去 30 天内受影响的实体。 之后,不再受影响的实体将从公开的实体列表中删除。