Compartilhar via

Avaliação de segurança: Editar o modelo de certificado do agente de inscrição configurado incorretamente (ESC3)

  • Artigo

Este artigo descreve Microsoft Defender para Identidade relatório de avaliação da postura de segurança do modelo de certificado do agente de inscrição configurado incorretamente.

O que são modelos de certificado do agente de inscrição configurados incorretamente?

Normalmente, os utilizadores têm um Agente de Inscrição que inscreve os respetivos certificados para os mesmos. Em circunstâncias específicas, os certificados do Agente de Inscrição podem inscrever certificados para qualquer utilizador elegível, o que representa um risco para a sua organização.

Quando Microsoft Defender para Identidade relatórios sobre modelos de certificado do Agente de Inscrição que colocam em perigo a sua organização, os modelos de Agente de Inscrição de risco são listados no painel Entidades expostas.

Como fazer utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para obter modelos de certificados do agente de inscrição configurados incorretamente. Por exemplo:

    Captura de ecrã a mostrar a recomendação Editar modelo de certificado do agente de inscrição (ESC3) configurado incorretamente.

  2. Resolva os problemas ao executar, pelo menos, um dos seguintes passos:

    • Remova o EKU do agente de pedido de certificado .
    • Remova permissões de inscrição excessivamente permissivas, que permitem a qualquer utilizador inscrever certificados com base nesse modelo de certificado. Os modelos marcados como vulneráveis pelo Defender para Identidade têm, pelo menos, uma entrada de lista de acesso que permite a inscrição para um grupo sem privilégios incorporado, tornando-o explorável por qualquer utilizador. Exemplos de grupos incorporados e sem privilégios são Utilizadores Autenticados ou Todos.
    • Ative o requisito de aprovação do Gestor de Certificados de AC.
    • Remova o modelo de certificado de ser publicado por qualquer AC. Os modelos que não são publicados não podem ser pedidos e, portanto, não podem ser explorados.
    • Utilize restrições do Agente de Inscrição ao nível da Autoridade de Certificação. Por exemplo, poderá querer restringir os utilizadores que têm permissão para atuar como Agente de Inscrição e quais os modelos que podem ser pedidos.

Certifique-se de que testa as definições num ambiente controlado antes de as ativar na produção.

Observação

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, a status ainda poderá demorar algum tempo até ser marcada como Concluída.

Próximas etapas