Évaluation de la sécurité : Appliquer le chiffrement pour l’interface d’inscription des certificats RPC (ESC11) (Aperçu)
Cet article décrit le rapport d’évaluation de la posture de sécurité de Microsoft Defender pour Identity sur l’application du chiffrement pour l’inscription des certificats RPC.
Qu’est-ce que le chiffrement avec l’inscription des certificats RPC ?
Active Directory Certificate Services (AD CS) prend en charge l’inscription des certificats en utilisant le protocole RPC, en particulier avec l’interface MS-ICPR. Dans ce cas, les paramètres de l’AC déterminent les paramètres de sécurité pour l’interface RPC, y compris l’exigence de confidentialité des paquets.
Si l’indicateur IF_ENFORCEENCRYPTICERTREQUEST est activé, l’interface RPC n’accepte que les connexions avec le niveau d’authentification RPC_C_AUTHN_LEVEL_PKT_PRIVACY. C’est le niveau d’authentification le plus élevé, et il exige que chaque paquet soit signé et chiffré afin de prévenir toute attaque par relais. Cela est similaire à SMB Signing dans le protocole SMB.
Si l’interface d’inscription RPC ne requiert pas la confidentialité des paquets, elle devient vulnérable aux attaques par relais (ESC11). L’indicateur IF_ENFORCEENCRYPTICERTREQUEST est activé par défaut, mais il est souvent désactivé pour permettre aux clients qui ne peuvent pas supporter le niveau d’authentification RPC requis, tels que les clients exécutant Windows XP, de se connecter.
Prérequis
Cette évaluation est disponible uniquement pour les clients qui ont installé un capteur sur un serveur AD CS. Pour plus d’informations, consultez Nouveau type de capteur pour les services de certificats Active Directory (AD CS).
Comment puis-je utiliser cette évaluation de sécurité pour améliorer l’état de la sécurité de mon organisation ?
Examinez l’action recommandée à https://security.microsoft.com/securescore?viewid=actions pour appliquer le chiffrement pour l’inscription des certificats RPC. Par exemple :
Recherchez pourquoi l’indicateur
IF_ENFORCEENCRYPTICERTREQUESTest désactivé.Assurez-vous d’activer l’indicateur
IF_ENFORCEENCRYPTICERTREQUESTpour éliminer la vulnérabilité.Pour activer l’indicateur, exécutez :
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUESTPour redémarrer le service, exécutez :
net stop certsvc & net start certsvc
Assurez-vous de tester vos paramètres dans un environnement contrôlé avant de les activer en production.
Remarque
Les évaluations sont mises à jour en quasi temps réel, mais les scores et les états le sont toutes les 24 heures. La liste des entités concernées est mise à jour dans les quelques minutes suivant la mise en œuvre des recommandations, mais la mise à jour de l’état peut prendre un certain temps avant qu’il ne soit signalé comme Terminé.
Les rapports affichent les entités affectées au cours des 30 derniers jours. Après cette période, les entités qui ne sont plus concernées sont retirées de la liste des entités exposées.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour