Partager via

Évaluation de la sécurité : Modifier le modèle de certificat de l’agent d’inscription mal configuré (ESC3)

  • Article

Cet article décrit Microsoft Defender pour Identity rapport d’évaluation de la posture de sécurité du modèle de certificat de l’agent d’inscription mal configuré.

Que sont les modèles de certificat de l’agent d’inscription malconfguré ?

En règle générale, les utilisateurs ont un agent d’inscription qui inscrit leurs certificats pour eux. Dans des circonstances spécifiques, les certificats de l’agent d’inscription peuvent inscrire des certificats pour n’importe quel utilisateur éligible, ce qui représente un risque pour votre organization.

Lorsque Microsoft Defender pour Identity des rapports sur les modèles de certificat de l’Agent d’inscription qui mettent en danger votre organization, les modèles d’agent d’inscription à risque sont répertoriés dans le volet Entités exposées.

Comment faire utiliser cette évaluation de la sécurité pour améliorer la posture de sécurité de mon organisation ?

  1. Passez en revue l’action recommandée à l’adresse https://security.microsoft.com/securescore?viewid=actions pour les modèles de certificat d’agent d’inscription incorrects. Par exemple :

    Capture d’écran de la recommandation Modifier le modèle de certificat d’agent d’inscription mal configuré (ESC3).

  2. Corrigez les problèmes en effectuant au moins l’une des étapes suivantes :

    • Supprimez la référence EKU de l’agent de demande de certificat.
    • Supprimez les autorisations d’inscription trop permissives, qui permettent à n’importe quel utilisateur d’inscrire des certificats en fonction de ce modèle de certificat. Les modèles marqués comme vulnérables par Defender pour Identity ont au moins une entrée de liste d’accès qui autorise l’inscription pour un groupe intégré non privilégié, ce qui rend cela exploitable par tout utilisateur. Des exemples de groupes intégrés et non privilégiés sont Utilisateurs authentifiés ou Tout le monde.
    • Activez l’exigence d’approbation du gestionnaire de certificats d’autorité de certification.
    • Supprimez la publication du modèle de certificat par n’importe quelle autorité de certification. Les modèles qui ne sont pas publiés ne peuvent pas être demandés et ne peuvent donc pas être exploités.
    • Utilisez les restrictions de l’agent d’inscription au niveau de l’autorité de certification. Par exemple, vous souhaiterez peut-être limiter les utilisateurs autorisés à agir en tant qu’agent d’inscription et les modèles qui peuvent être demandés.

Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.

Remarque

Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.

Étapes suivantes