Del via

Sikkerhetsvurdering: Rediger feilkonfigurert sertifikatmal for registreringsagent (ESC3)

  • Artikkel

Denne artikkelen beskriver Microsoft Defender for identitet's Feilkonfigurert registrering agent sertifikat sertifikat mal sikkerhet holdning vurdering rapport.

Hva er feilopprettede sertifikatmaler for registreringsagent?

Brukere har vanligvis en registreringsagent som registrerer sertifikatene for dem. Under bestemte omstendigheter kan registreringsagentsertifikater registrere sertifikater for enhver kvalifisert bruker, noe som utgjør en risiko for organisasjonen.

Når Microsoft Defender for identitet rapporter om sertifikatmaler for registreringsagenten som setter organisasjonen i fare, er risikable maler for registreringsagent oppført i ruten Eksponerte enheter.

Hvordan bruke denne sikkerhetsvurderingen til å forbedre min organisatoriske sikkerhetsstilling?

  1. Se gjennom den anbefalte handlingen for https://security.microsoft.com/securescore?viewid=actions feilopprettede sertifikatmaler for registreringsagenter. Eksempel:

    Skjermbilde av anbefalingen Rediger feilkonfigurert sertifikatmal for registreringsagent (ESC3).

  2. Utbedr problemene ved å utføre minst ett av følgende trinn:

    • Fjern EKU-en for sertifikatforespørselsagenten .
    • Fjern altfor tillatte registreringstillatelser, som gjør det mulig for alle brukere å registrere sertifikater basert på denne sertifikatmalen. Maler som er merket som sårbare av Defender for Identity, har minst én tilgangslisteoppføring som tillater registrering for en innebygd, ikke-privilegert gruppe, noe som gjør dette utnyttelig for enhver bruker. Eksempler på innebygde, ikke-privilegerte grupper er godkjente brukere eller alle.
    • Aktiver godkjenningskravet for sertifiseringsinstanssertifikatbehandling.
    • Fjern sertifikatmalen fra å bli publisert av en sertifiseringsinstans. Maler som ikke er publisert, kan ikke bes om, og kan derfor ikke utnyttes.
    • Bruk begrensninger for registreringsagent på sertifiseringsinstansnivå. Du kan for eksempel begrense hvilke brukere som har tillatelse til å fungere som registreringsagent, og hvilke maler som kan bes om det.

Sørg for å teste innstillingene i et kontrollert miljø før du slår dem på i produksjon.

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Neste trinn