Udostępnij za pośrednictwem

Ocena zabezpieczeń: edytowanie nieprawidłowo skonfigurowanego szablonu certyfikatu agenta rejestracji (ESC3)

  • Artykuł

W tym artykule opisano raport oceny stanu zabezpieczeń nieprawidłowo skonfigurowanego agenta rejestracji Microsoft Defender for Identity.

Co to są nieprawidłowo skonfigurowane szablony certyfikatów agenta rejestracji?

Zazwyczaj użytkownicy mają agenta rejestracji, który rejestruje dla nich swoje certyfikaty. W określonych okolicznościach certyfikaty agenta rejestracji mogą rejestrować certyfikaty dla każdego kwalifikującego się użytkownika, stwarzając zagrożenie dla organizacji.

Gdy Microsoft Defender for Identity raporty dotyczące szablonów certyfikatów agenta rejestracji, które zagrażają Twojej organizacji, ryzykowne szablony agenta rejestracji są wyświetlane w okienku Uwidocznione jednostki.

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń organizacji?

  1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby uzyskać nieprawidłowo skonfigurowane szablony certyfikatów agenta rejestracji. Przykład:

    Zrzut ekranu przedstawiający zalecenie Edytuj nieprawidłowo skonfigurowany szablon certyfikatu agenta rejestracji (ESC3).

  2. Aby rozwiązać problemy, wykonaj co najmniej jeden z następujących kroków:

    • Usuń jednostkę EKU agenta żądania certyfikatu .
    • Usuń nadmiernie permisywne uprawnienia rejestracji, które umożliwiają każdemu użytkownikowi rejestrowanie certyfikatów na podstawie tego szablonu certyfikatu. Szablony oznaczone jako narażone przez usługę Defender for Identity mają co najmniej jeden wpis listy dostępu, który umożliwia rejestrację dla wbudowanej grupy nieuprzywilejowanej, dzięki czemu jest to możliwe do wykorzystania przez dowolnego użytkownika. Przykładami wbudowanych, nieuprzywilejowanych grup są uwierzytelnieni użytkownicy lub wszyscy.
    • Włącz wymaganie zatwierdzenia menedżera certyfikatów urzędu certyfikacji.
    • Usuń szablon certyfikatu z publikowania przez dowolny urząd certyfikacji. Nie można zażądać szablonów, które nie zostały opublikowane, i dlatego nie można ich wykorzystać.
    • Użyj ograniczeń agenta rejestracji na poziomie urzędu certyfikacji. Na przykład możesz chcieć ograniczyć, którzy użytkownicy mogą pełnić rolę agenta rejestracji i których szablonów można zażądać.

Przed włączeniem ich w środowisku produkcyjnym należy przetestować ustawienia w kontrolowanym środowisku.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Następne kroki