הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
מאמר זה מתאר Microsoft Defender עבור זהות אכוף הצפנה עבור דוח הערכת אבטחה של רישום אישורי RPC.
מהי הצפנה עם הרשמת אישור RPC?
Active Directory Certificate Services (AD CS) תומך ברשומת אישורים באמצעות פרוטוקול RPC, במיוחד עם ממשק MS-ICPR. במקרים כאלה, הגדרות רשות אישורים קובעות את הגדרות האבטחה עבור ממשק RPC, כולל הדרישה לפרטיות מנה.
אם הדגל IF_ENFORCEENCRYPTICERTREQUEST מופעל, ממשק RPC מקבל רק חיבורים עם רמת RPC_C_AUTHN_LEVEL_PKT_PRIVACY האימות. זוהי רמת האימות הגבוהה ביותר ודורש חתימה והצפנת כל מנה כדי למנוע כל סוג של מתקפות ממסר. פעולה זו דומה לפרוטוקול SMB Signing SMB.
אם ממשק ההרשמה ל- RPC אינו דורש פרטיות מנה, הוא הופך לפגיע להתקפות ממסר (ESC11). הדגל IF_ENFORCEENCRYPTICERTREQUEST מופעל כברירת מחדל, אך לעתים קרובות מבוטל כדי לאפשר ללקוחות שאינם יכולים לתמוך ברמת אימות RPC הנדרשת, כגון לקוחות שפועל בהם Windows XP.
דרישות מוקדמות
הערכה זו זמינה רק ללקוחות שהתקין חיישן בשרת AD CS. לקבלת מידע נוסף, ראה סוג חיישן חדש עבור Active Directory Certificate Services (AD CS).
כיצד ניתן לבצע בהערכת אבטחה זו כדי לשפר את תציבת האבטחה הארגונית שלי?
סקור את הפעולה המומלצת ב https://security.microsoft.com/securescore?viewid=actions - לאכוף הצפנה עבור רישום אישורי RPC. לדוגמה:
תחקר מדוע
IF_ENFORCEENCRYPTICERTREQUESTהדגל כבוי.הקפד להפעיל את הדגל
IF_ENFORCEENCRYPTICERTREQUESTכדי להסיר את הפגיעות.כדי להפעיל את הדגל, הפעל את:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUESTכדי להפעיל מחדש את השירות, הפעל את:
net stop certsvc & net start certsvc
הקפד לבדוק את ההגדרות בסביבה מבוקרת לפני הפעלתן בייצור.
הערה
בעוד שהערכות מתעדכנת כמעט בזמן אמת, הציונים והמצבים מתעדכנים כל 24 שעות. בעוד שרשימת הישויות המושפעות מתעדכנת תוך כמה דקות מההטמעה של ההמלצות, המצב עשוי להימשך זמן מה עד שהוא יסומן כ'הושלם '.