تقييم الأمان: فرض التشفير لواجهة تسجيل شهادة RPC (ESC11)
توضح هذه المقالة تقرير تقييم وضع أمان فرض التشفير لتسجيل شهادة RPC Microsoft Defender for Identity.
ما هو التشفير مع تسجيل شهادة RPC؟
تدعم خدمات شهادات Active Directory (AD CS) تسجيل الشهادة باستخدام بروتوكول RPC، على وجه التحديد مع واجهة MS-ICPR. في مثل هذه الحالات، تحدد إعدادات CA إعدادات الأمان لواجهة RPC، بما في ذلك متطلبات خصوصية الحزمة.
إذا كانت العلامة IF_ENFORCEENCRYPTICERTREQUEST
قيد التشغيل، فإن واجهة RPC تقبل فقط الاتصالات بمستوى RPC_C_AUTHN_LEVEL_PKT_PRIVACY
المصادقة. هذا هو أعلى مستوى مصادقة، ويتطلب توقيع كل حزمة وتشفيرها لمنع أي نوع من هجمات الترحيل. هذا مشابه ل SMB Signing
في بروتوكول SMB.
إذا كانت واجهة تسجيل RPC لا تتطلب خصوصية الحزمة، فإنها تصبح عرضة لهجمات الترحيل (ESC11).
IF_ENFORCEENCRYPTICERTREQUEST
تكون العلامة قيد التشغيل بشكل افتراضي، ولكن غالبا ما يتم إيقاف تشغيلها للسماح للعملاء الذين لا يمكنهم دعم مستوى مصادقة RPC المطلوب، مثل العملاء الذين يقومون بتشغيل Windows XP.
المتطلبات الأساسية
يتوفر هذا التقييم فقط للعملاء الذين قاموا بتثبيت أداة استشعار على خادم AD CS. لمزيد من المعلومات، راجع نوع المستشعر الجديد لخدمات شهادات Active Directory (AD CS).
كيف أعمل استخدام تقييم الأمان هذا لتحسين وضعي الأمني التنظيمي؟
راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لفرض التشفير لتسجيل شهادة RPC. على سبيل المثال:
ابحث عن
IF_ENFORCEENCRYPTICERTREQUEST
سبب إيقاف تشغيل العلم.تأكد من تشغيل العلامة
IF_ENFORCEENCRYPTICERTREQUEST
لإزالة الثغرة الأمنية.لتشغيل العلامة، قم بتشغيل:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
لإعادة تشغيل الخدمة، قم بتشغيل:
net stop certsvc & net start certsvc
تأكد من اختبار الإعدادات في بيئة خاضعة للرقابة قبل تشغيلها في الإنتاج.
ملاحظة
بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.