Sdílet prostřednictvím

Posouzení zabezpečení: Vynucení šifrování pro rozhraní zápisu certifikátů RPC (ESC8) (Preview)

  • Článek

Tento článek popisuje, jak microsoft Defender for Identity vynucovat šifrování pro sestavu posouzení stavu zabezpečení zápisu certifikátů RPC.

Co je šifrování pomocí zápisu certifikátu RPC?

Služba AD CS (Active Directory Certificate Services) podporuje zápis certifikátů pomocí protokolu RPC, konkrétně s rozhraním MS-ICPR. V takových případech nastavení certifikační autority určují nastavení zabezpečení pro rozhraní RPC, včetně požadavku na ochranu osobních údajů paketů.

IF_ENFORCEENCRYPTICERTREQUEST Pokud je příznak zapnutý, rozhraní RPC přijímá pouze připojení s RPC_C_AUTHN_LEVEL_PKT_PRIVACY úrovní ověřování. Toto je nejvyšší úroveň ověřování a vyžaduje, aby každý paket byl podepsaný a zašifrovaný, aby se zabránilo jakémukoli druhu útoku na přenos. Podobá se SMB Signing tomu v protokolu SMB.

Pokud registrační rozhraní RPC nevyžaduje ochranu osobních údajů paketů, stane se zranitelnou vůči útokům na přenos (ESC8). Příznak IF_ENFORCEENCRYPTICERTREQUEST je ve výchozím nastavení zapnutý, ale často je vypnutý, aby klienti, kteří nemůžou podporovat požadovanou úroveň ověřování RPC, jako jsou klienti se systémem Windows XP.

Požadavky

Toto posouzení je dostupné jenom zákazníkům, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Active Directory Certificate Services (AD CS).

Návody toto posouzení zabezpečení použít ke zlepšení stavu zabezpečení organizace?

  1. Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions pro vynucování šifrování pro zápis certifikátu RPC. Příklad:

    Screenshot of the Enforce encryption for RPC certificate enrollment interface (ESC8) recommendation.

  2. Zjistěte, proč IF_ENFORCEENCRYPTICERTREQUEST je příznak vypnutý.

  3. Pokud chcete odebrat ohrožení zabezpečení, nezapomeňte příznak zapnout IF_ENFORCEENCRYPTICERTREQUEST .

    Pokud chcete příznak zapnout, spusťte:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Pokud chcete službu restartovat, spusťte:

    net stop certsvc & net start certsvc

Před zapnutím nastavení v produkčním prostředí nezapomeňte otestovat nastavení v řízeném prostředí.

Poznámka:

I když se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit během několika minut od implementace doporučení aktualizuje, může tento stav chvíli trvat, než se označí jako Dokončeno.

Sestavy zobrazují ovlivněné entity za posledních 30 dnů. Po uplynutí této doby se entity ze seznamu vystavených entit odeberou.

Další kroky