Jaa

Suojauksen arviointi: Muokkaa väärin määritettyä rekisteröintiagentin varmennemallia (ESC3)

  • Artikkeli

Tässä artikkelissa kuvataan Microsoft Defender for Identity väärin määritetty rekisteröintiagentin varmennemallin suojausasennon arviointiraportti.

Mitä ovat virheelliset rekisteröintiagentin varmennemallit?

Yleensä käyttäjillä on rekisteröintiagentti, joka rekisteröi varmenteet heille. Tietyissä tilanteissa rekisteröintiagentin varmenteet voivat rekisteröidä varmenteita mille tahansa oikeutetulle käyttäjälle, mikä aiheuttaa riskin organisaatiollesi.

Kun Microsoft Defender for Identity raportteja rekisteröintiagentin varmennemalleista, jotka vaarantavat organisaatiosi, riskialttiit rekisteröintiagentin mallit luetellaan Paljastetut entiteetit -ruudussa.

Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?

  1. Tarkista suositeltu toiminto kohteessa https://security.microsoft.com/securescore?viewid=actions virheellisten rekisteröintiagentin varmennemallien osalta. Esimerkki:

    Näyttökuva virheellisesti määritetyn rekisteröintiagentin varmennemallin (ESC3) suosituksesta.

  2. Korjaa ongelmat suorittamalla vähintään yksi seuraavista vaiheista:

    • Poista Varmennepyyntöagentti EKU.
    • Poista liikaa sallivat rekisteröintioikeudet, joiden avulla kuka tahansa käyttäjä voi rekisteröidä kyseiseen varmennemalliin perustuvia varmenteita. Malleja, jotka Defender for Identity on merkinnyt haavoittuvaksi, on vähintään yksi käyttöoikeusluettelomerkintä, joka sallii rekisteröinnin sisäiselle voittamattomalle ryhmälle, joten kuka tahansa käyttäjä voi hyödyntää tätä. Esimerkkejä sisäisistä, ei-valtuutettuista ryhmistä ovat Todennetut käyttäjät tai Kaikki.
    • Ota käyttöön varmenteiden myöntäjän varmenteen hallinnan hyväksyntävaatimus .
    • Poista varmennemalli minkä tahansa varmenteiden myöntäjän julkaisemasta. Malleja, joita ei julkaista, ei voi pyytää, joten niitä ei voi hyödyntää.
    • Käytä rekisteröintiagentin rajoituksia Varmenteiden myöntäjä -tasolla. Saatat esimerkiksi haluta rajoittaa sitä, ketkä käyttäjät voivat toimia rekisteröintiagentina ja mitä malleja voidaan pyytää.

Muista testata asetukset hallitussa ympäristössä, ennen kuin otat ne käyttöön tuotannossa.

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.

Seuraavat vaiheet