Posouzení zabezpečení: Vynucení šifrování pro rozhraní zápisu certifikátů RPC (ESC8) (Preview)
Tento článek popisuje, jak microsoft Defender for Identity vynucovat šifrování pro sestavu posouzení stavu zabezpečení zápisu certifikátů RPC.
Co je šifrování pomocí zápisu certifikátu RPC?
Služba AD CS (Active Directory Certificate Services) podporuje zápis certifikátů pomocí protokolu RPC, konkrétně s rozhraním MS-ICPR. V takových případech nastavení certifikační autority určují nastavení zabezpečení pro rozhraní RPC, včetně požadavku na ochranu osobních údajů paketů.
IF_ENFORCEENCRYPTICERTREQUEST
Pokud je příznak zapnutý, rozhraní RPC přijímá pouze připojení s RPC_C_AUTHN_LEVEL_PKT_PRIVACY
úrovní ověřování. Toto je nejvyšší úroveň ověřování a vyžaduje, aby každý paket byl podepsaný a zašifrovaný, aby se zabránilo jakémukoli druhu útoku na přenos. Podobá se SMB Signing
tomu v protokolu SMB.
Pokud registrační rozhraní RPC nevyžaduje ochranu osobních údajů paketů, stane se zranitelnou vůči útokům na přenos (ESC8). Příznak IF_ENFORCEENCRYPTICERTREQUEST
je ve výchozím nastavení zapnutý, ale často je vypnutý, aby klienti, kteří nemůžou podporovat požadovanou úroveň ověřování RPC, jako jsou klienti se systémem Windows XP.
Požadavky
Toto posouzení je dostupné jenom zákazníkům, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Active Directory Certificate Services (AD CS).
Návody toto posouzení zabezpečení použít ke zlepšení stavu zabezpečení organizace?
Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions pro vynucování šifrování pro zápis certifikátu RPC. Příklad:
Zjistěte, proč
IF_ENFORCEENCRYPTICERTREQUEST
je příznak vypnutý.Pokud chcete odebrat ohrožení zabezpečení, nezapomeňte příznak zapnout
IF_ENFORCEENCRYPTICERTREQUEST
.Pokud chcete příznak zapnout, spusťte:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Pokud chcete službu restartovat, spusťte:
net stop certsvc & net start certsvc
Před zapnutím nastavení v produkčním prostředí nezapomeňte otestovat nastavení v řízeném prostředí.
Poznámka:
I když se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit během několika minut od implementace doporučení aktualizuje, může tento stav chvíli trvat, než se označí jako Dokončeno.
Sestavy zobrazují ovlivněné entity za posledních 30 dnů. Po uplynutí této doby se entity ze seznamu vystavených entit odeberou.