Del via

Sikkerhedsvurdering: Rediger den forkert konfigurerede certifikatskabelon til enrollmentagent (ESC3)

  • Artikel

I denne artikel beskrives Microsoft Defender for Identity's rapport over fejlkonfigurerede tilmeldingsagentcertifikatskabeloner til vurdering af sikkerhedsholdning.

Hvad er fejlfortolgte certifikatskabeloner til tilmeldingsagenter?

Brugerne har typisk en tilmeldingsagent, der tilmelder deres certifikater til dem. Under særlige omstændigheder kan Enrollment Agent-certifikater tilmelde certifikater for alle berettigede brugere, hvilket udgør en risiko for din organisation.

Når Microsoft Defender for Identity rapporter om certifikatskabeloner til enrollmentagent, der bringer din organisation i fare, vises risikable tilmeldingsagentskabeloner i ruden Eksponerede enheder.

Hvordan gør jeg bruge denne sikkerhedsvurdering til at forbedre min organisations sikkerhedsholdning?

  1. Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for at få vist fejlfortolgte certifikatskabeloner for tilmeldingsagenter. Det kan f.eks. være:

    Skærmbillede af anbefalingen Rediger forkert konfigureret esc3 (enrollment agent certificate template).

  2. Løs problemerne ved at udføre mindst et af følgende trin:

    • Fjern EKU for certifikatanmodningsagenten .
    • Fjern tilladelser til overdrevent tilladt tilmelding, som gør det muligt for alle brugere at tilmelde certifikater, der er baseret på den pågældende certifikatskabelon. Skabeloner, der er markeret som sårbare af Defender for Identity, har mindst én adgangslistepost, der gør det muligt at tilmelde en indbygget gruppe, der ikke erprivilegeret, hvilket gør det muligt for alle brugere at udnytte dette. Eksempler på indbyggede, ikke-godkendte grupper er Godkendte brugere eller Alle.
    • Aktivér krav til godkendelse af nøglecentercertifikatstyring.
    • Fjern certifikatskabelonen fra at blive publiceret af et hvilket som helst nøglecenter. Der kan ikke anmodes om skabeloner, der ikke er publiceret, og som derfor ikke kan udnyttes.
    • Brug begrænsninger for enrollment Agent på niveauet Nøglecenter. Det kan f.eks. være, at du vil begrænse, hvilke brugere der har tilladelse til at fungere som en tilmeldingsagent, og hvilke skabeloner der kan anmodes om.

Sørg for at teste dine indstillinger i et kontrolleret miljø, før du aktiverer dem i produktionen.

Bemærk!

Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.

Næste trin