安全性評估:編輯設定錯誤的註冊代理程式證書範本 (ESC3)
本文說明 適用於身分識別的 Microsoft Defender 設定錯誤的註冊代理程式證書範本安全性狀態評估報告。
什麼是設定錯誤的註冊代理程式證書範本?
一般而言,使用者會有註冊代理程式來註冊其憑證。 在特定情況下,註冊代理程序憑證可以為任何合格的用戶註冊憑證,對您的組織造成風險。
當 適用於身分識別的 Microsoft Defender 報告貴組織的註冊代理程式證書範本時,有風險的註冊代理程式範本會列在 [公開的實體] 窗格中。
如何? 使用此安全性評估來改善我的組織安全性狀態嗎?
如需設定錯誤的註冊代理程式證書範本,請檢閱 中的建議動作 https://security.microsoft.com/securescore?viewid=actions 。 例如:
至少執行下列其中一個步驟來補救問題:
- 拿掉 憑證要求代理程式 EKU。
- 拿掉過度寬鬆的註冊許可權,允許任何用戶根據該證書範本註冊憑證。 被適用於身分識別的 Defender 標示為易受攻擊的範本至少有一個存取清單專案,允許註冊內建的無特殊許可權群組,讓任何使用者都能利用此功能。 內建、無特殊許可權群組的範例包括 已驗證的使用者 或 所有人。
- 開啟 CA 憑證 管理員核准 需求。
- 拿掉證書範本,不由任何 CA 發佈。 無法要求未發佈的範本,因此無法遭到惡意探索。
- 在證書頒發機構單位層級上使用註冊代理程式限制。 例如,您可能想要限制哪些使用者可以作為註冊代理程式,以及可以要求哪些範本。
在生產環境中開啟設定之前,請務必先在受控制環境中測試設定。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。