セキュリティ評価: RPC 証明書登録インターフェイス (ESC8) の暗号化を適用する (プレビュー)
この記事では、Microsoft Defender for Identity の RPC 証明書登録 セキュリティ体制評価レポートに対する暗号化の適用について説明します。
RPC 証明書登録を使用した暗号化とは
Active Directory Certificate Services (AD CS) では、RPC プロトコル (特に MS-ICPR インターフェイスを使用) を使用した証明書の登録がサポートされています。 このような場合、CA 設定によって、パケット プライバシーの要件を含む RPC インターフェイスのセキュリティ設定が決まります。
フラグが IF_ENFORCEENCRYPTICERTREQUEST
オンになっている場合、RPC インターフェイスは認証レベルとの RPC_C_AUTHN_LEVEL_PKT_PRIVACY
接続のみを受け入れます。 これは最も高い認証レベルであり、あらゆる種類のリレー攻撃を防ぐために、各パケットを署名して暗号化する必要があります。 これは、S MB (メガバイト) プロトコルと似ていますSMB Signing
。
RPC 登録インターフェイスでパケット プライバシーが必要ない場合は、リレー攻撃 (ESC8) に対して脆弱になります。 このフラグは IF_ENFORCEENCRYPTICERTREQUEST
既定でオンになっていますが、多くの場合、Windows XP を実行しているクライアントなど、必要な RPC 認証レベルをサポートできないクライアントを許可するためにオフになっています。
前提条件
この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが利用できます。 詳細については、「Active Directory 証明書サービス (AD CS) の新しいセンサーの種類」を参照してください。
このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。
RPC 証明書登録の暗号化を適用するための推奨されるアクション https://security.microsoft.com/securescore?viewid=actions を確認します。 次に例を示します。
フラグがオフになっている理由を
IF_ENFORCEENCRYPTICERTREQUEST
調査します。この脆弱性を削除するには、
IF_ENFORCEENCRYPTICERTREQUEST
必ずフラグをオンにします。フラグをオンにするには、次のコマンドを実行します。
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
サービスを再起動するには、次のコマンドを実行します。
net stop certsvc & net start certsvc
運用環境で有効にする前に、制御された環境で設定をテストしてください。
Note
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。
レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。