Share via

Biztonsági értékelés: Titkosítás kényszerítése az RPC-tanúsítványregisztrációs felülethez (ESC8) (előzetes verzió)

  • Cikk

Ez a cikk a Microsoft Defender identitáshoz készült kényszerítési titkosítását ismerteti az RPC-tanúsítványok regisztrációjának biztonsági helyzetértékelési jelentéséhez.

Mi az RPC-tanúsítványregisztráció titkosítása?

Az Active Directory Tanúsítványszolgáltatások (AD CS) támogatja a tanúsítványregisztrációt az RPC protokoll használatával, különösen az MS-ICPR felülettel. Ilyen esetekben a hitelesítésszolgáltató beállításai határozzák meg az RPC-felület biztonsági beállításait, beleértve a csomagadatok védelmére vonatkozó követelményt is.

Ha a IF_ENFORCEENCRYPTICERTREQUEST jelző be van kapcsolva, az RPC-felület csak a RPC_C_AUTHN_LEVEL_PKT_PRIVACY hitelesítési szinttel rendelkező kapcsolatokat fogadja el. Ez a legmagasabb hitelesítési szint, és minden csomagot alá kell írni és titkosítani kell, hogy megelőzze a továbbítási támadásokat. Ez hasonló az SMB protokollhoz SMB Signing .

Ha az RPC regisztrációs felülete nem igényel csomagvédelmet, sebezhetővé válik a továbbítási támadásokkal (ESC8). A IF_ENFORCEENCRYPTICERTREQUEST jelző alapértelmezés szerint be van kapcsolva, de gyakran ki van kapcsolva, hogy az olyan ügyfelek, amelyek nem tudják támogatni a szükséges RPC-hitelesítési szintet, például a Windows XP rendszert futtató ügyfelek számára.

Előfeltételek

Ez az értékelés csak azoknak az ügyfeleknek érhető el, akik egy érzékelőt telepítettek egy AD CS-kiszolgálón. További információ: Az Active Directory Tanúsítványszolgáltatások (AD CS) új érzékelőtípusa.

Hogyan használja ezt a biztonsági értékelést a szervezeti biztonsági helyzet javítása érdekében?

  1. Tekintse át az RPC-tanúsítványregisztráció titkosításának kikényszerítéséhez javasolt műveletet https://security.microsoft.com/securescore?viewid=actions . Például:

    Screenshot of the Enforce encryption for RPC certificate enrollment interface (ESC8) recommendation.

  2. Annak vizsgálata, hogy miért van kikapcsolva a IF_ENFORCEENCRYPTICERTREQUEST zászló.

  3. A biztonsági rés eltávolításához kapcsolja be a IF_ENFORCEENCRYPTICERTREQUEST jelzőt.

    A jelző bekapcsolásához futtassa a következőt:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    A szolgáltatás újraindításához futtassa a következőt:

    net stop certsvc & net start certsvc

Mielőtt éles környezetben bekapcsolná őket, tesztelje a beállításokat egy ellenőrzött környezetben.

Megjegyzés:

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.

A jelentések az elmúlt 30 nap érintett entitását jelenítik meg. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.

További lépések