Sdílet prostřednictvím

Posouzení zabezpečení: Úprava chybně nakonfigurované šablony certifikátu agenta zápisu (ESC3)

  • Článek

Tento článek popisuje sestavu posouzení stavu zabezpečení šablony certifikátu agenta zápisu Microsoft Defender for Identity.

Co jsou nesprávně pochopené šablony certifikátů agenta zápisu?

Uživatelé obvykle mají agenta registrace, který za ně zaregistruje certifikáty. Za určitých okolností můžou certifikáty agenta zápisu registrovat certifikáty pro libovolného oprávněného uživatele, což představuje riziko pro vaši organizaci.

Když Microsoft Defender for Identity sestavy o šablonách certifikátů agenta registrace, které ohrožují vaši organizaci, jsou v podokně Vystavené entity uvedené rizikové šablony agenta registrace.

Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení organizace?

  1. Projděte si doporučenou akci na adrese, kde https://security.microsoft.com/securescore?viewid=actions najdete šablony certifikátů agenta zápisu s chybou konfigurace. Příklady:

    Snímek obrazovky s doporučením Upravit chybně nakonfigurovaný certifikát agenta zápisu (ESC3)

  2. Napravte problémy provedením alespoň jednoho z následujících kroků:

    • Odeberte EKU agenta žádosti o certifikát .
    • Odeberte příliš oprávnění k registraci, která umožňují každému uživateli registrovat certifikáty založené na této šabloně certifikátu. Šablony označené defenderem for Identity jako zranitelné mají aspoň jednu položku přístupového seznamu, která umožňuje registraci předdefinované neprivilegované skupiny, takže ji může zneužít libovolný uživatel. Příklady předdefinovaných neprivilegovaných skupin jsou Ověření uživatelé nebo Všichni.
    • Zapněte požadavek na schválení správce certifikátů certifikační autority.
    • Odeberte šablonu certifikátu, aby ji publikovala jakákoli certifikační autorita. Šablony, které nejsou publikovány, nelze požadovat, a proto je nelze zneužít.
    • Použijte omezení agenta zápisu na úrovni certifikační autority. Můžete například chtít omezit, kteří uživatelé smí fungovat jako agent registrace a které šablony je možné požadovat.

Před zapnutím v produkčním prostředí nezapomeňte nastavení otestovat v řízeném prostředí.

Poznámka

Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.

Další kroky