Delen via

Beveiligingsevaluatie: onjuist geconfigureerde certificaatsjabloon voor inschrijvingsagenten bewerken (ESC3)

  • Artikel

In dit artikel wordt het beveiligingspostuurbeoordelingsrapport van Microsoft Defender for Identity van de fout geconfigureerde inschrijvingsagentcertificaatsjabloon beschreven.

Wat zijn certificaatsjablonen voor onjuist weergegeven inschrijvingsagenten?

Gebruikers hebben doorgaans een inschrijvingsagent die hun certificaten voor hen inschrijft. Onder specifieke omstandigheden kunnen inschrijvingsagentcertificaten certificaten inschrijven voor elke in aanmerking komende gebruiker, wat een risico voor uw organisatie met zich mee kan meebrengen.

Wanneer Microsoft Defender for Identity rapporteert over certificaatsjablonen voor inschrijvingsagenten die uw organisatie in gevaar brengen, worden riskante inschrijvingsagentsjablonen weergegeven in het deelvenster Blootgestelde entiteiten.

Hoe kan ik deze beveiligingsevaluatie gebruiken om de beveiligingsstatus van mijn organisatie te verbeteren?

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor certificaatsjablonen voor onjuist weergegeven inschrijvingsagent. Bijvoorbeeld:

    Schermopname van de aanbeveling Esc3 -certificaatsjabloon voor onjuist geconfigureerde inschrijvingsagent bewerken.

  2. Herstel de problemen door ten minste een van de volgende stappen uit te voeren:

    • Verwijder de EKU van de certificaataanvraagagent .
    • Verwijder te permissieve inschrijvingsmachtigingen, waarmee elke gebruiker certificaten kan inschrijven op basis van die certificaatsjabloon. Sjablonen die door Defender for Identity als kwetsbaar zijn gemarkeerd, hebben ten minste één toegangslijstvermelding waarmee inschrijving voor een ingebouwde niet-gemachtigde groep mogelijk is, waardoor dit door elke gebruiker kan worden misbruikt. Voorbeelden van ingebouwde, niet-gemachtigde groepen zijn Geverifieerde gebruikers of Iedereen.
    • Schakel de goedkeuringsvereiste voor CA-certificaatbeheer in.
    • Verwijder de certificaatsjabloon die door een CA wordt gepubliceerd. Sjablonen die niet zijn gepubliceerd, kunnen niet worden aangevraagd en kunnen daarom niet worden misbruikt.
    • Gebruik inschrijvingsagentbeperkingen op het niveau van de certificeringsinstantie. U wilt bijvoorbeeld beperken welke gebruikers mogen fungeren als inschrijvingsagent en welke sjablonen kunnen worden aangevraagd.

Test uw instellingen in een gecontroleerde omgeving voordat u ze inschakelt in productie.

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Volgende stappen