Sicherheitsbewertung: Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierungsschnittstelle (ESC8) (Vorschau)
In diesem Artikel wird die Erzwingungsverschlüsselung von Microsoft Defender for Identity für die Sicherheitsstatusbewertung von RPC-Zertifikaten beschrieben.
Was ist die Verschlüsselung mit der RPC-Zertifikatregistrierung?
Active Directory Certificate Services (AD CS) unterstützt die Zertifikatregistrierung mithilfe des RPC-Protokolls, insbesondere mit der MS-ICPR-Schnittstelle. In solchen Fällen bestimmen die Zertifizierungsstelleneinstellungen die Sicherheitseinstellungen für die RPC-Schnittstelle, einschließlich der Anforderung für den Paketdatenschutz.
Wenn das IF_ENFORCEENCRYPTICERTREQUEST
Flag aktiviert ist, akzeptiert die RPC-Schnittstelle nur Verbindungen mit der RPC_C_AUTHN_LEVEL_PKT_PRIVACY
Authentifizierungsebene. Dies ist die höchste Authentifizierungsebene und erfordert, dass jedes Paket signiert und verschlüsselt wird, um jede Art von Relayangriff zu verhindern. Dies ähnelt SMB Signing
dem SMB-Protokoll.
Wenn die RPC-Registrierungsschnittstelle keinen Paketdatenschutz erfordert, wird sie anfällig für Relayangriffe (ESC8). Das IF_ENFORCEENCRYPTICERTREQUEST
Flag ist standardmäßig aktiviert, ist jedoch häufig deaktiviert, um Clients zu ermöglichen, die die erforderliche RPC-Authentifizierungsebene nicht unterstützen können, z. B. Clients mit Windows XP.
Voraussetzungen
Diese Bewertung ist nur für Kunden verfügbar, die einen Sensor auf einem AD CS-Server installiert haben. Weitere Informationen finden Sie unter "Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS)".
Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?
Überprüfen Sie die empfohlene Aktion https://security.microsoft.com/securescore?viewid=actions zum Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierung. Beispiel:
Recherchieren Sie, warum die
IF_ENFORCEENCRYPTICERTREQUEST
Kennzeichnung deaktiviert ist.Stellen Sie sicher, dass Sie die
IF_ENFORCEENCRYPTICERTREQUEST
Kennzeichnung aktivieren, um die Sicherheitsanfälligkeit zu entfernen.Führen Sie Folgendes aus, um die Kennzeichnung zu aktivieren:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Um den Dienst neu zu starten, führen Sie Folgendes aus:
net stop certsvc & net start certsvc
Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.
Hinweis
Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.
In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.