Share via

Sicherheitsbewertung: Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierungsschnittstelle (ESC8) (Vorschau)

  • Artikel

In diesem Artikel wird die Erzwingungsverschlüsselung von Microsoft Defender for Identity für die Sicherheitsstatusbewertung von RPC-Zertifikaten beschrieben.

Was ist die Verschlüsselung mit der RPC-Zertifikatregistrierung?

Active Directory Certificate Services (AD CS) unterstützt die Zertifikatregistrierung mithilfe des RPC-Protokolls, insbesondere mit der MS-ICPR-Schnittstelle. In solchen Fällen bestimmen die Zertifizierungsstelleneinstellungen die Sicherheitseinstellungen für die RPC-Schnittstelle, einschließlich der Anforderung für den Paketdatenschutz.

Wenn das IF_ENFORCEENCRYPTICERTREQUEST Flag aktiviert ist, akzeptiert die RPC-Schnittstelle nur Verbindungen mit der RPC_C_AUTHN_LEVEL_PKT_PRIVACY Authentifizierungsebene. Dies ist die höchste Authentifizierungsebene und erfordert, dass jedes Paket signiert und verschlüsselt wird, um jede Art von Relayangriff zu verhindern. Dies ähnelt SMB Signing dem SMB-Protokoll.

Wenn die RPC-Registrierungsschnittstelle keinen Paketdatenschutz erfordert, wird sie anfällig für Relayangriffe (ESC8). Das IF_ENFORCEENCRYPTICERTREQUEST Flag ist standardmäßig aktiviert, ist jedoch häufig deaktiviert, um Clients zu ermöglichen, die die erforderliche RPC-Authentifizierungsebene nicht unterstützen können, z. B. Clients mit Windows XP.

Voraussetzungen

Diese Bewertung ist nur für Kunden verfügbar, die einen Sensor auf einem AD CS-Server installiert haben. Weitere Informationen finden Sie unter "Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS)".

Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?

  1. Überprüfen Sie die empfohlene Aktion https://security.microsoft.com/securescore?viewid=actions zum Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierung. Beispiel:

    Screenshot of the Enforce encryption for RPC certificate enrollment interface (ESC8) recommendation.

  2. Recherchieren Sie, warum die IF_ENFORCEENCRYPTICERTREQUEST Kennzeichnung deaktiviert ist.

  3. Stellen Sie sicher, dass Sie die IF_ENFORCEENCRYPTICERTREQUEST Kennzeichnung aktivieren, um die Sicherheitsanfälligkeit zu entfernen.

    Führen Sie Folgendes aus, um die Kennzeichnung zu aktivieren:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Um den Dienst neu zu starten, führen Sie Folgendes aus:

    net stop certsvc & net start certsvc

Stellen Sie sicher, dass Sie Ihre Einstellungen in einer kontrollierten Umgebung testen, bevor Sie sie in der Produktion aktivieren.

Hinweis

Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.

In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.

Nächste Schritte