보안 평가: RPC 인증서 등록 인터페이스(ESC8)에 대한 암호화 적용(미리 보기)

  • 아티클

이 문서에서는 RPC 인증서 등록 보안 상태 평가 보고서에 대한 Microsoft Defender for Identity의 암호화 적용에 대해 설명합니다.

RPC 인증서 등록을 사용한 암호화란?

AD CS(Active Directory Certificate Services)는 특히 MS-ICPR 인터페이스와 함께 RPC 프로토콜을 사용하여 인증서 등록을 지원합니다. 이러한 경우 CA 설정은 패킷 개인 정보 보호 요구 사항을 포함하여 RPC 인터페이스에 대한 보안 설정을 결정합니다.

플래그가 IF_ENFORCEENCRYPTICERTREQUEST 켜져 있으면 RPC 인터페이스는 인증 수준과의 RPC_C_AUTHN_LEVEL_PKT_PRIVACY 연결만 허용합니다. 이는 가장 높은 인증 수준이며 모든 종류의 릴레이 공격을 방지하기 위해 각 패킷에 서명하고 암호화해야 합니다. 이는 SMB 프로토콜과 유사 SMB Signing 합니다.

RPC 등록 인터페이스에 패킷 개인 정보가 필요하지 않은 경우 릴레이 공격(ESC8)에 취약해집니다. 플래그는 IF_ENFORCEENCRYPTICERTREQUEST 기본적으로 켜져 있지만 Windows XP를 실행하는 클라이언트와 같이 필요한 RPC 인증 수준을 지원할 수 없는 클라이언트를 허용하도록 종종 꺼져 있습니다.

필수 조건

이 평가는 AD CS 서버에 센서를 설치한 고객만 사용할 수 있습니다. 자세한 내용은 AD CS(Active Directory Certificate Services)에 대한 새 센서 유형을 참조하세요.

이 보안 평가를 사용하여 조직의 보안 상태를 개선할 어떻게 할까요? 있나요?

  1. RPC 인증서 등록에 대한 암호화를 적용하기 위한 권장 작업을 https://security.microsoft.com/securescore?viewid=actions 검토합니다. 예시:

    Screenshot of the Enforce encryption for RPC certificate enrollment interface (ESC8) recommendation.

  2. 플래그가 IF_ENFORCEENCRYPTICERTREQUEST 꺼진 이유를 조사합니다.

  3. 취약성을 IF_ENFORCEENCRYPTICERTREQUEST 제거하려면 플래그를 켜야 합니다.

    플래그를 켜려면 다음을 실행합니다.

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    서비스를 다시 시작하려면 다음을 실행합니다.

    net stop certsvc & net start certsvc

프로덕션 환경에서 설정을 켜기 전에 제어된 환경에서 설정을 테스트해야 합니다.

참고 항목

평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.

보고서에는 지난 30일 동안의 영향을 받는 엔터티가 표시됩니다. 이 시간 이후에는 더 이상 영향을 받지 않는 엔터티가 노출된 엔터티 목록에서 제거됩니다.

다음 단계