Biztonsági értékelés: Titkosítás kényszerítése az RPC-tanúsítványregisztrációs felülethez (ESC8) (előzetes verzió)
Ez a cikk a Microsoft Defender identitáshoz készült kényszerítési titkosítását ismerteti az RPC-tanúsítványok regisztrációjának biztonsági helyzetértékelési jelentéséhez.
Mi az RPC-tanúsítványregisztráció titkosítása?
Az Active Directory Tanúsítványszolgáltatások (AD CS) támogatja a tanúsítványregisztrációt az RPC protokoll használatával, különösen az MS-ICPR felülettel. Ilyen esetekben a hitelesítésszolgáltató beállításai határozzák meg az RPC-felület biztonsági beállításait, beleértve a csomagadatok védelmére vonatkozó követelményt is.
Ha a IF_ENFORCEENCRYPTICERTREQUEST
jelző be van kapcsolva, az RPC-felület csak a RPC_C_AUTHN_LEVEL_PKT_PRIVACY
hitelesítési szinttel rendelkező kapcsolatokat fogadja el. Ez a legmagasabb hitelesítési szint, és minden csomagot alá kell írni és titkosítani kell, hogy megelőzze a továbbítási támadásokat. Ez hasonló az SMB protokollhoz SMB Signing
.
Ha az RPC regisztrációs felülete nem igényel csomagvédelmet, sebezhetővé válik a továbbítási támadásokkal (ESC8). A IF_ENFORCEENCRYPTICERTREQUEST
jelző alapértelmezés szerint be van kapcsolva, de gyakran ki van kapcsolva, hogy az olyan ügyfelek, amelyek nem tudják támogatni a szükséges RPC-hitelesítési szintet, például a Windows XP rendszert futtató ügyfelek számára.
Előfeltételek
Ez az értékelés csak azoknak az ügyfeleknek érhető el, akik egy érzékelőt telepítettek egy AD CS-kiszolgálón. További információ: Az Active Directory Tanúsítványszolgáltatások (AD CS) új érzékelőtípusa.
Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?
Tekintse át az RPC-tanúsítványregisztráció titkosításának kikényszerítéséhez javasolt műveletet https://security.microsoft.com/securescore?viewid=actions . Például:
Annak vizsgálata, hogy miért van kikapcsolva a
IF_ENFORCEENCRYPTICERTREQUEST
zászló.A biztonsági rés eltávolításához kapcsolja be a
IF_ENFORCEENCRYPTICERTREQUEST
jelzőt.A jelző bekapcsolásához futtassa a következőt:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
A szolgáltatás újraindításához futtassa a következőt:
net stop certsvc & net start certsvc
Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.
Megjegyzés:
Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.
A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.