보안 평가: 잘못 구성된 등록 에이전트 인증서 템플릿 편집(ESC3)

이 문서에서는 Microsoft Defender for Identity 잘못 구성된 등록 에이전트 인증서 템플릿 보안 상태 평가 보고서에 대해 설명합니다.

구성되지 않은 등록 에이전트 인증서 템플릿이란?

일반적으로 사용자에게는 인증서를 등록하는 등록 에이전트가 있습니다. 특정 상황에서 등록 에이전트 인증서는 적격 사용자에 대한 인증서를 등록하여 organization 위험을 초래할 수 있습니다.

organization 위험에 노출되는 등록 에이전트 인증서 템플릿에 대한 보고서를 Microsoft Defender for Identity 경우 위험한 등록 에이전트 템플릿이 노출된 엔터티 창에 나열됩니다.

이 보안 평가를 사용하여 조직 보안 상태를 개선할 어떻게 할까요? 있나요?

1. 구성되지 않은 등록 에이전트 인증서 템플릿에 대한 권장 작업을 https://security.microsoft.com/securescore?viewid=actions 검토합니다. 예시:

   

2. 다음 단계 중 하나 이상을 수행하여 문제를 해결합니다.

   • 인증서 요청 에이전트 EKU를 제거합니다.
   • 모든 사용자가 해당 인증서 템플릿을 기반으로 인증서를 등록할 수 있도록 허용하는 지나치게 허용된 등록 권한을 제거합니다. Defender for Identity에 의해 취약한 것으로 표시된 템플릿에는 권한이 없는 기본 제공 그룹에 대한 등록을 허용하는 액세스 목록 항목이 하나 이상 있으므로 모든 사용자가 이를 악용할 수 있습니다. 기본 제공 권한 없는 그룹의 예로는 인증된 사용자 또는 모든 사용자가 있습니다.
   • CA 인증서 관리자 승인 요구 사항을 켭니다.
   • CA에서 인증서 템플릿을 게시하지 않도록 제거합니다. 게시되지 않은 템플릿은 요청할 수 없으므로 악용할 수 없습니다.
   • 인증 기관 수준에서 등록 에이전트 제한을 사용합니다. 예를 들어 등록 에이전트 역할을 할 수 있는 사용자와 요청할 수 있는 템플릿을 제한할 수 있습니다.

프로덕션 환경에서 설정을 켜기 전에 제어된 환경에서 설정을 테스트해야 합니다.

다음 단계

• Microsoft 보안 점수에 대해 자세히 알아보기
• Defender for Identity 포럼을 확인하세요!