Sicherheitsbewertung: Bearbeiten falsch konfigurierter Registrierungs-Agent-Zertifikatvorlage (ESC3) (Vorschau)

In diesem Artikel wird der Sicherheitsstatusbewertungsbericht des Falsch konfigurierten Registrierungs-Agent-Zertifikats von Microsoft Defender for Identity beschrieben.

Was sind falsch konfigurierte Registrierungs-Agent-Zertifikatvorlagen?

In der Regel verfügen Benutzer über einen Registrierungs-Agent, der ihre Zertifikate für sie registriert. Unter bestimmten Umständen können Registrierungs-Agent-Zertifikate Zertifikate für jeden berechtigten Benutzer registrieren, was für Ihre Organisation ein Risiko darstellt.

Wenn Microsoft Defender for Identity Berichte zu Zertifikatvorlagen für Registrierungs-Agent meldet, die Ihre Organisation gefährden, werden risikobehaftete Registrierungs-Agent-Vorlagen im Bereich " Verfügbar gemachte Entitäten " aufgeführt.

Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?

1. Überprüfen Sie die empfohlene Aktion auf falsch konfigurierte Zertifikatvorlagen für Registrierungs-Agent.Review the recommended action at https://security.microsoft.com/securescore?viewid=actions for misconfgured enrollment agent certificate templates. Beispiel:

   

2. Beheben Sie die Probleme, indem Sie mindestens einen der folgenden Schritte ausführen:

   • Entfernen Sie die EKU des Zertifikatanforderungs-Agents .
   • Entfernen Sie übermäßig zulässige Registrierungsberechtigungen, die es jedem Benutzer ermöglichen, Zertifikate basierend auf dieser Zertifikatvorlage zu registrieren. Vorlagen, die von Defender for Identity als anfällig gekennzeichnet sind, weisen mindestens einen Zugriffslisteneintrag auf, der die Registrierung für eine integrierte, nicht privilegierte Gruppe ermöglicht und dies von jedem Benutzer ausnutzbar macht. Beispiele für integrierte, nicht privilegierte Gruppen sind authentifizierte Benutzer oder jeder.
   • Aktivieren Sie die Genehmigungsanforderung für den Zertifizierungsstellen-Zertifikat-Manager.
   • Entfernen Sie die Zertifikatvorlage, die von einer beliebigen Zertifizierungsstelle veröffentlicht wird. Nicht veröffentlichte Vorlagen können nicht angefordert werden und können daher nicht ausgenutzt werden.
   • Verwenden Sie Registrierungs-Agent-Einschränkungen auf der Zertifizierungsstellenebene. Sie können z. B. einschränken, welche Benutzer als Registrierungs-Agent fungieren dürfen und welche Vorlagen angefordert werden können.

Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.

Hinweis

Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.

In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.

Nächste Schritte

• Weitere Informationen zur Microsoft-Sicherheitsbewertung
• Besuchen Sie das Defender for Identity-Forum!