Dela via

Säkerhetsutvärdering: Redigera felkonfigurerad certifikatmall för registreringsagenten (ESC3)

  • Artikel

Den här artikeln beskriver Microsoft Defender for Identity felkonfigurerade utvärderingsrapport för registreringsagentens certifikatmall för säkerhetsstatus.

Vad är felkonfesserade certifikatmallar för registreringsagenten?

Vanligtvis har användarna en registreringsagent som registrerar sina certifikat åt dem. Under särskilda omständigheter kan registreringsagentcertifikat registrera certifikat för alla berättigade användare, vilket utgör en risk för din organisation.

När Microsoft Defender for Identity rapporter om registreringsagentcertifikatmallar som äventyrar din organisation visas riskfyllda registreringsagentmallar i fönstret Exponerade entiteter.

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

  1. Granska den rekommenderade åtgärden på https://security.microsoft.com/securescore?viewid=actions för felkonfiguration av certifikatmallar för registreringsagenten. Till exempel:

    Skärmbild av rekommendationen Redigera felkonfigurerad registreringsagentcertifikatmall (ESC3).

  2. Åtgärda problemen genom att utföra minst ett av följande steg:

    • Ta bort EKU:n för certifikatbegärandeagenten .
    • Ta bort behörigheter för alltför tillåtande registrering, vilket gör att alla användare kan registrera certifikat baserat på certifikatmallen. Mallar som markerats som sårbara av Defender for Identity har minst en åtkomstlistepost som tillåter registrering för en inbyggd oprivilegierad grupp, vilket gör att den kan utnyttjas av alla användare. Exempel på inbyggda grupper utan privilegier är autentiserade användare eller alla.
    • Aktivera krav för ca certificate Manager-godkännande .
    • Ta bort certifikatmallen från att publiceras av en certifikatutfärdare. Mallar som inte publiceras kan inte begäras och kan därför inte utnyttjas.
    • Använd registreringsagentbegränsningar på certifikatutfärdarnivå. Du kanske till exempel vill begränsa vilka användare som får fungera som registreringsagent och vilka mallar som kan begäras.

Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.

Obs!

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Nästa steg