Оценка безопасности: изменение неправильно настроенного шаблона сертификата агента регистрации (ESC3)

В этой статье описывается отчет об оценке состояния безопасности шаблона сертификата агента регистрации Microsoft Defender для удостоверений неправильно настроен.

Что такое неправильные шаблоны сертификатов агента регистрации?

Как правило, у пользователей есть агент регистрации, который регистрирует для них сертификаты. При определенных обстоятельствах сертификаты агента регистрации могут регистрировать сертификаты для любого соответствующего пользователя, что создает риск для вашей организации.

Когда Microsoft Defender для удостоверений отчеты о шаблонах сертификатов агента регистрации, которые угрожают вашей организации, шаблоны агента регистрации с рисками отображаются на панели Предоставляемые сущности.

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

1. Ознакомьтесь с рекомендуемыми действиями в для https://security.microsoft.com/securescore?viewid=actions неправильной оценки шаблонов сертификатов агента регистрации. Например:

   

2. Устраните проблемы, выполнив по крайней мере одно из следующих действий.

   • Удалите EKU агента запроса сертификата .
   • Удалите слишком разрешительные разрешения на регистрацию, которые позволяют любому пользователю регистрировать сертификаты на основе этого шаблона сертификата. Шаблоны, помеченные как уязвимые в Defender для удостоверений, имеют по крайней мере одну запись в списке доступа, которая позволяет зарегистрировать встроенную непривилегированную группу, что делает ее эксплуатируемой любым пользователем. Примерами встроенных непривилегированных групп являются пользователи с проверкой подлинности или Все.
   • Включите требование утверждения диспетчера сертификатов ЦС.
   • Удалите шаблон сертификата из публикации любым центром сертификации. Шаблоны, которые не опубликованы, не могут быть запрошены и, следовательно, не могут быть использованы.
   • Используйте ограничения агента регистрации на уровне центра сертификации. Например, может потребоваться ограничить пользователей, которым разрешено действовать в качестве агента регистрации, и какие шаблоны можно запрашивать.

Обязательно протестируйте параметры в управляемой среде, прежде чем включать их в рабочей среде.

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Дальнейшие действия

• Дополнительные сведения о оценке безопасности (Майкрософт)
• Посетите форум Defender для удостоверений!