Valutazione della sicurezza: modificare il modello di certificato dell'agente di registrazione non configurato correttamente (ESC3)

Questo articolo descrive il report di valutazione del comportamento di sicurezza del modello di certificato dell'agente di registrazione non configurato correttamente di Microsoft Defender per identità.

Quali sono i modelli di certificato dell'agente di registrazione non corretto?

In genere, gli utenti hanno un agente di registrazione che registra i certificati per loro. In circostanze specifiche, i certificati dell'agente di registrazione possono registrare i certificati per qualsiasi utente idoneo, esponendo un rischio per l'organizzazione.

Quando Microsoft Defender per identità report sui modelli di certificato dell'agente di registrazione che mettono in pericolo l'organizzazione, i modelli rischiosi dell'agente di registrazione sono elencati nel riquadro Entità esposte.

Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?

1. Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per i modelli di certificato dell'agente di registrazione non corretti. Ad esempio:

   

2. Risolvere i problemi eseguendo almeno uno dei passaggi seguenti:

   • Rimuovere l'EKU dell'agente richiesta certificato .
   • Rimuovere le autorizzazioni di registrazione eccessivamente permissive, che consentono a qualsiasi utente di registrare i certificati in base a tale modello di certificato. I modelli contrassegnati come vulnerabili da Defender per identità hanno almeno una voce dell'elenco di accesso che consente la registrazione per un gruppo predefinito senza privilegi, rendendo questo elemento sfruttabile da qualsiasi utente. Esempi di gruppi predefiniti senza privilegi sono Utenti autenticati o Tutti.
   • Attivare il requisito di approvazione di Gestione certificati CA.
   • Rimuovere il modello di certificato dalla pubblicazione da qualsiasi AUTORITÀ di certificazione. I modelli non pubblicati non possono essere richiesti e pertanto non possono essere sfruttati.
   • Usare le restrizioni dell'agente di registrazione a livello di autorità di certificazione. Ad esempio, è possibile limitare gli utenti autorizzati a fungere da agente di registrazione e i modelli che è possibile richiedere.

Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.

Nota

Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.

Passaggi successivi

• Altre informazioni su Microsoft Secure Score
• Consultare il forum di Defender per identità.