Sicherheitsbewertung: Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierungsschnittstelle (ESC11) (Vorschau)
Dieser Artikel beschreibt den Bericht Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierungsschnittstelle (ESC8) zur Bewertung der Sicherheitslage von Microsoft Defender for Identity.
Was ist die Verschlüsselung bei der RPC-Zertifikatregistrierung?
Active Directory Certificate Services (AD CS) unterstützt die Zertifikatregistrierung mithilfe des RPC-Protokolls, insbesondere mit der MS-ICPR-Schnittstelle. In solchen Fällen bestimmen die Einstellungen der Zertifizierungsstelle die Sicherheitseinstellungen für die RPC-Schnittstelle, einschließlich der Anforderung für den Paketdatenschutz.
Wenn das Flag IF_ENFORCEENCRYPTICERTREQUEST
aktiviert ist, akzeptiert die RPC-Schnittstelle nur Verbindungen mit der Authentifizierungsebene RPC_C_AUTHN_LEVEL_PKT_PRIVACY
. Dies ist die höchste Authentifizierungsebene und erfordert, dass jedes Paket signiert und verschlüsselt wird, um jede Art von Relayangriff zu verhindern. Dies ist mit SMB Signing
im SMB-Protokoll vergleichbar.
Wenn die RPC-Registrierungsschnittstelle keinen Paketdatenschutz erfordert, wird sie anfällig für Relayangriffe (ESC11). Das Flag IF_ENFORCEENCRYPTICERTREQUEST
ist standardmäßig aktiviert, wird jedoch häufig deaktiviert, um Clients zuzulassen, die die erforderliche RPC-Authentifizierungsebene nicht unterstützen können, z. B. Clients mit Windows XP.
Voraussetzungen
Diese Bewertung ist nur für Kunden verfügbar, die auf einem AD CS-Server einen Sensor installiert haben. Weitere Informationen finden Sie unter Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS).
Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?
Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions zum Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierung. Zum Beispiel:
Ermitteln Sie, warum das Flag
IF_ENFORCEENCRYPTICERTREQUEST
deaktiviert ist.Aktivieren Sie das Flag
IF_ENFORCEENCRYPTICERTREQUEST
, um das Sicherheitsrisiko zu beseitigen.Führen Sie den folgenden Befehl aus, um das Flag zu aktivieren:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Führen Sie den folgenden Befehl aus, um den Dienst neu zu starten:
net stop certsvc & net start certsvc
Testen Sie Ihre Einstellungen in einer kontrollierten Umgebung, bevor Sie sie in der Produktion aktivieren.
Hinweis
Bewertungen werden nahezu in Echtzeit aktualisiert, Ergebnisse und der Status alle 24 Stunden. Die Liste der betroffenen Entitäten wird innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert. Es kann jedoch etwas länger dauern, bis der Status zu Abgeschlossen wechselt.
In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.
Nächste Schritte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für