Freigeben über


Sicherheitsbewertung: Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierungsschnittstelle (ESC11) (Vorschau)

Dieser Artikel beschreibt den Bericht Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierungsschnittstelle (ESC8) zur Bewertung der Sicherheitslage von Microsoft Defender for Identity.

Was ist die Verschlüsselung bei der RPC-Zertifikatregistrierung?

Active Directory Certificate Services (AD CS) unterstützt die Zertifikatregistrierung mithilfe des RPC-Protokolls, insbesondere mit der MS-ICPR-Schnittstelle. In solchen Fällen bestimmen die Einstellungen der Zertifizierungsstelle die Sicherheitseinstellungen für die RPC-Schnittstelle, einschließlich der Anforderung für den Paketdatenschutz.

Wenn das Flag IF_ENFORCEENCRYPTICERTREQUEST aktiviert ist, akzeptiert die RPC-Schnittstelle nur Verbindungen mit der Authentifizierungsebene RPC_C_AUTHN_LEVEL_PKT_PRIVACY. Dies ist die höchste Authentifizierungsebene und erfordert, dass jedes Paket signiert und verschlüsselt wird, um jede Art von Relayangriff zu verhindern. Dies ist mit SMB Signing im SMB-Protokoll vergleichbar.

Wenn die RPC-Registrierungsschnittstelle keinen Paketdatenschutz erfordert, wird sie anfällig für Relayangriffe (ESC11). Das Flag IF_ENFORCEENCRYPTICERTREQUEST ist standardmäßig aktiviert, wird jedoch häufig deaktiviert, um Clients zuzulassen, die die erforderliche RPC-Authentifizierungsebene nicht unterstützen können, z. B. Clients mit Windows XP.

Voraussetzungen

Diese Bewertung ist nur für Kunden verfügbar, die auf einem AD CS-Server einen Sensor installiert haben. Weitere Informationen finden Sie unter Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS).

Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions zum Erzwingen der Verschlüsselung für die RPC-Zertifikatregistrierung. Zum Beispiel:

    Screenshot: Empfehlung zur Erzwingung der Verschlüsselung für die RPC-Zertifikatregistrierungsschnittstelle (ESC11)

  2. Ermitteln Sie, warum das Flag IF_ENFORCEENCRYPTICERTREQUEST deaktiviert ist.

  3. Aktivieren Sie das Flag IF_ENFORCEENCRYPTICERTREQUEST, um das Sicherheitsrisiko zu beseitigen.

    Führen Sie den folgenden Befehl aus, um das Flag zu aktivieren:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
    

    Führen Sie den folgenden Befehl aus, um den Dienst neu zu starten:

    net stop certsvc & net start certsvc
    

Testen Sie Ihre Einstellungen in einer kontrollierten Umgebung, bevor Sie sie in der Produktion aktivieren.

Hinweis

Bewertungen werden nahezu in Echtzeit aktualisiert, Ergebnisse und der Status alle 24 Stunden. Die Liste der betroffenen Entitäten wird innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert. Es kann jedoch etwas länger dauern, bis der Status zu Abgeschlossen wechselt.

In den Berichten werden die betroffenen Entitäten aus den letzten 30 Tagen angezeigt. Nach diesem Zeitpunkt werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.

Nächste Schritte