Bagikan melalui

Penilaian keamanan: Menerapkan enkripsi untuk antarmuka pendaftaran sertifikat RPC (ESC11) (Pratinjau)

  • Artikel

Artikel ini menjelaskan enkripsi Terapkan Microsoft Defender untuk Identitas untuk laporan penilaian postur keamanan pendaftaran sertifikat RPC.

Apa itu enkripsi dengan pendaftaran sertifikat RPC?

Active Directory Certificate Services (AD CS) mendukung pendaftaran sertifikat menggunakan protokol RPC, khususnya dengan antarmuka MS-ICPR. Dalam kasus seperti itu, pengaturan CA menentukan pengaturan keamanan untuk antarmuka RPC, termasuk persyaratan untuk privasi paket.

IF_ENFORCEENCRYPTICERTREQUEST Jika bendera diaktifkan, antarmuka RPC hanya menerima koneksi dengan RPC_C_AUTHN_LEVEL_PKT_PRIVACY tingkat autentikasi. Ini adalah tingkat autentikasi tertinggi, dan mengharuskan setiap paket untuk ditandatangani dan dienkripsi sehingga mencegah serangan relai apa pun. Ini mirip SMB Signing dengan dalam protokol SMB.

Jika antarmuka pendaftaran RPC tidak memerlukan privasi paket, antarmuka pendaftaran RPC menjadi rentan terhadap serangan relai (ESC11). Bendera IF_ENFORCEENCRYPTICERTREQUEST aktif secara default, tetapi sering dinonaktifkan untuk memungkinkan klien yang tidak dapat mendukung tingkat autentikasi RPC yang diperlukan, seperti klien yang menjalankan Windows XP.

Prasyarat

Penilaian ini hanya tersedia untuk pelanggan yang telah menginstal sensor di server AD CS. Untuk informasi selengkapnya, lihat Jenis sensor baru untuk Active Directory Certificate Services (AD CS).

Bagaimana cara menggunakan penilaian keamanan ini untuk meningkatkan postur keamanan organisasi saya?

  1. Tinjau tindakan yang direkomendasikan di https://security.microsoft.com/securescore?viewid=actions untuk memberlakukan enkripsi untuk pendaftaran sertifikat RPC. Contohnya:

    Cuplikan layar rekomendasi Berlakukan enkripsi untuk antarmuka pendaftaran sertifikat RPC (ESC11).

  2. Penelitian mengapa bendera dimatikan IF_ENFORCEENCRYPTICERTREQUEST .

  3. Pastikan untuk mengaktifkan IF_ENFORCEENCRYPTICERTREQUEST bendera untuk menghapus kerentanan.

    Untuk mengaktifkan bendera, jalankan:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Untuk memulai ulang layanan, jalankan:

    net stop certsvc & net start certsvc

Pastikan untuk menguji pengaturan Anda di lingkungan terkontrol sebelum mengaktifkannya dalam produksi.

Catatan

Meskipun penilaian diperbarui mendekati real time, skor dan status diperbarui setiap 24 jam. Meskipun daftar entitas yang terkena dampak diperbarui dalam beberapa menit setelah Anda menerapkan rekomendasi, status mungkin masih membutuhkan waktu hingga ditandai sebagai Selesai.

Laporan menunjukkan entitas yang terpengaruh dari 30 hari terakhir. Setelah itu, entitas yang tidak lagi terpengaruh akan dihapus dari daftar entitas yang terekspos.

Langkah berikutnya