Share via

Valutazione della sicurezza: Modificare un modello di certificato dell'agente di registrazione non configurato correttamente (ESC3) (anteprima)

  • Articolo

Questo articolo descrive il report di valutazione del comportamento di sicurezza del modello di certificato del modello di certificato dell'agente di registrazione non configurato di Microsoft Defender per identità.

Che cosa sono i modelli di certificato dell'agente di registrazione misconfgured?

In genere, gli utenti hanno un agente di registrazione che registra i propri certificati. In circostanze specifiche, i certificati dell'agente di registrazione possono registrare i certificati per qualsiasi utente idoneo, comportando un rischio per l'organizzazione.

Quando Microsoft Defender per identità report sui modelli di certificato dell'agente di registrazione che mettono in pericolo l'organizzazione, i modelli dell'agente di registrazione a rischio sono elencati nel riquadro Entità esposte.

Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?

  1. Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per i modelli di certificato dell'agente di registrazione misconfgured. Ad esempio:

    Screenshot of the Edit misconfigured enrollment agent certificate template (ESC3) recommendation.

  2. Correggere i problemi eseguendo almeno uno dei passaggi seguenti:

    • Rimuovere l'agente di richiesta certificato EKU.
    • Rimuovere le autorizzazioni di registrazione eccessivamente permissive, che consentono a qualsiasi utente di registrare i certificati in base a tale modello di certificato. I modelli contrassegnati come vulnerabili da Defender per identità dispongono di almeno una voce dell'elenco di accesso che consente la registrazione per un gruppo non privilegiato predefinito, rendendo questo sfruttabile da qualsiasi utente. Esempi di gruppi predefiniti senza privilegi sono Utenti autenticati o Tutti.
    • Attivare il requisito di approvazione di Gestione certificati CA.
    • Rimuovere il modello di certificato da pubblicare da qualsiasi AUTORITÀ di certificazione. I modelli non pubblicati non possono essere richiesti e pertanto non possono essere sfruttati.
    • Usare le restrizioni dell'agente di registrazione a livello di autorità di certificazione. Ad esempio, è possibile limitare gli utenti autorizzati a fungere da agente di registrazione e quali modelli possono essere richiesti.

Assicurarsi di testare le impostazioni in un ambiente controllato prima di attivarle nell'ambiente di produzione.

Nota

Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.

I report mostrano le entità interessate degli ultimi 30 giorni. Dopo tale periodo, le entità non interessate verranno rimosse dall'elenco delle entità esposte.

Passaggi successivi