Freigeben über

Sicherheitsbewertung: Falsch konfigurierte Zertifikatvorlage des Registrierungs-Agents bearbeiten (ESC3)

  • Artikel

In diesem Artikel wird Microsoft Defender for Identity Bericht zu falsch konfigurierten Zertifikatvorlagen für den Registrierungs-Agent beschrieben.

Was sind falsch konfigurierte Registrierungs-Agent-Zertifikatvorlagen?

In der Regel verfügen Benutzer über einen Registrierungs-Agent, der ihre Zertifikate für sie registriert. Unter bestimmten Umständen können Registrierungs-Agent-Zertifikate Zertifikate für jeden berechtigten Benutzer registrieren, was ein Risiko für Ihre organization darstellt.

Wenn Microsoft Defender for Identity Berichte über Zertifikatvorlagen des Registrierungs-Agents meldet, die Ihre organization gefährden, werden risikobehaftete Registrierungs-Agent-Vorlagen im Bereich Verfügbar gemachte Entitäten aufgeführt.

Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions für falsch konfigurierte Zertifikatvorlagen des Registrierungs-Agents. Zum Beispiel:

    Screenshot der Empfehlung zum Bearbeiten einer falsch konfigurierten Zertifikatvorlage für den Registrierungs-Agent (ESC3).

  2. Beheben Sie die Probleme, indem Sie mindestens einen der folgenden Schritte ausführen:

    • Entfernen Sie die EKU des Zertifikatanforderungs-Agents .
    • Entfernen Sie übermäßig freizügige Registrierungsberechtigungen, die es jedem Benutzer ermöglichen, Zertifikate basierend auf dieser Zertifikatvorlage zu registrieren. Vorlagen, die von Defender for Identity als anfällig gekennzeichnet sind, verfügen über mindestens einen Zugriffslisteneintrag, der die Registrierung für eine integrierte nicht privilegierte Gruppe ermöglicht, sodass dieser von jedem Benutzer ausgenutzt werden kann. Beispiele für integrierte, nicht privilegierte Gruppen sind authentifizierte Benutzer oder Jeder.
    • Aktivieren Sie die Genehmigungsanforderung für den Zertifizierungsstellen-Zertifikat-Manager .
    • Entfernen Sie die Zertifikatvorlage aus der Veröffentlichung durch eine beliebige Zertifizierungsstelle. Vorlagen, die nicht veröffentlicht wurden, können nicht angefordert und daher nicht ausgenutzt werden.
    • Verwenden Sie Registrierungs-Agent-Einschränkungen auf Zertifizierungsstellenebene. Sie können beispielsweise einschränken, welche Benutzer als Registrierungs-Agent fungieren dürfen und welche Vorlagen angefordert werden können.

Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.

Hinweis

Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit dauern, bis sie als Abgeschlossen markiert ist.

Nächste Schritte