Sikkerhedsvurdering: Gennemtving kryptering for RPC-certifikatregistreringsgrænsefladen (ESC11)
I denne artikel beskrives Microsoft Defender for Identity's Rapport over gennemtving kryptering for rpc-certifikatregistreringsvurdering.
Hvad er kryptering med RPC-certifikatregistrering?
AD CS (Active Directory Certificate Services) understøtter certifikatregistrering ved hjælp af RPC-protokollen, især med MS-ICPR-grænsefladen. I sådanne tilfælde bestemmer ca-indstillingerne sikkerhedsindstillingerne for RPC-grænsefladen, herunder kravet om beskyttelse af personlige oplysninger for pakker.
Hvis flaget IF_ENFORCEENCRYPTICERTREQUEST
er slået til, accepterer RPC-grænsefladen kun forbindelser med RPC_C_AUTHN_LEVEL_PKT_PRIVACY
godkendelsesniveauet. Dette er det højeste godkendelsesniveau og kræver, at hver pakke signeres og krypteres for at forhindre enhver form for relæangreb. Dette svarer til SMB Signing
i SMB-protokollen.
Hvis RPC-tilmeldingsgrænsefladen ikke kræver beskyttelse af personlige oplysninger for pakker, bliver den sårbar over for relæangreb (ESC11). Flaget IF_ENFORCEENCRYPTICERTREQUEST
er som standard slået til, men er ofte slået fra for at tillade klienter, der ikke kan understøtte det påkrævede RPC-godkendelsesniveau, f.eks. klienter, der kører Windows XP.
Forudsætninger
Denne vurdering er kun tilgængelig for kunder, der har installeret en sensor på en AD CS-server. Du kan få flere oplysninger under Ny sensortype for Active Directory Certificate Services (AD CS).
Hvordan gør jeg bruge denne sikkerhedsvurdering til at forbedre min organisations sikkerhedsholdning?
Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for at gennemtvinge kryptering for RPC-certifikatregistrering. Det kan f.eks. være:
Undersøg, hvorfor flaget
IF_ENFORCEENCRYPTICERTREQUEST
er slået fra.Sørg for at slå flaget
IF_ENFORCEENCRYPTICERTREQUEST
til for at fjerne sårbarheden.Hvis du vil aktivere flaget, skal du køre:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Hvis du vil genstarte tjenesten, skal du køre:
net stop certsvc & net start certsvc
Sørg for at teste dine indstillinger i et kontrolleret miljø, før du aktiverer dem i produktionen.
Bemærk!
Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.