Compartir a través de

Evaluación de seguridad: Editar plantilla de certificado de agente de inscripción mal configurada (ESC3)

  • Artículo

En este artículo se describe el informe de evaluación de la posición de seguridad de la plantilla de certificado de agente de inscripción mal configurado de Microsoft Defender for Identity.

¿Qué son las plantillas de certificado de agente de inscripción erróneas?

Normalmente, los usuarios tienen un agente de inscripción que inscribe sus certificados para ellos. En circunstancias específicas, los certificados del Agente de inscripción pueden inscribir certificados para cualquier usuario apto, lo que supone un riesgo para su organización.

Cuando Microsoft Defender for Identity informes sobre plantillas de certificado del agente de inscripción que ponen en peligro su organización, las plantillas de agente de inscripción de riesgo se muestran en el panel Entidades expuestas.

Cómo usar esta evaluación de seguridad para mejorar la posición de seguridad de mi organización?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para ver las plantillas de certificado de agente de inscripción no confirmadas. Por ejemplo:

    Captura de pantalla de la recomendación Editar plantilla de certificado de agente de inscripción mal configurada (ESC3).

  2. Corrija los problemas realizando al menos uno de los pasos siguientes:

    • Quite el EKU del agente de solicitud de certificado .
    • Quite los permisos de inscripción excesivamente permisivos, que permiten a cualquier usuario inscribir certificados basados en esa plantilla de certificado. Las plantillas marcadas como vulnerables por Defender for Identity tienen al menos una entrada de lista de acceso que permite la inscripción para un grupo integrado sin privilegios, lo que hace que sea aprovechable por cualquier usuario. Algunos ejemplos de grupos integrados sin privilegios son Usuarios autenticados o Todos.
    • Active el requisito de aprobación del administrador de certificados de CA.
    • Quite la plantilla de certificado de que cualquier entidad de certificación publique. Las plantillas que no se publican no se pueden solicitar y, por lo tanto, no se pueden aprovechar.
    • Use restricciones del agente de inscripción en el nivel de entidad de certificación. Por ejemplo, es posible que quiera restringir qué usuarios pueden actuar como agente de inscripción y qué plantillas se pueden solicitar.

Asegúrese de probar la configuración en un entorno controlado antes de activarlas en producción.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Pasos siguientes