Beveiligingsevaluatie: Versleuteling afdwingen voor de RPC-certificaatinschrijvingsinterface (ESC11) (preview)
In dit artikel wordt het afdwingen van versleuteling voor het beveiligingspostuurbeoordelingsrapport voor RPC-certificaatinschrijving beschreven.
Wat is versleuteling met RPC-certificaatinschrijving?
Active Directory Certificate Services (AD CS) ondersteunt certificaatinschrijving met behulp van het RPC-protocol, met name met de MS-ICPR-interface. In dergelijke gevallen bepalen de CA-instellingen de beveiligingsinstellingen voor de RPC-interface, inclusief de vereiste voor pakketprivacy.
Als de IF_ENFORCEENCRYPTICERTREQUEST
vlag is ingeschakeld, accepteert de RPC-interface alleen verbindingen met het RPC_C_AUTHN_LEVEL_PKT_PRIVACY
verificatieniveau. Dit is het hoogste verificatieniveau en vereist dat elk pakket wordt ondertekend en versleuteld om elk type relay-aanval te voorkomen. Dit is vergelijkbaar met SMB Signing
in het SMB-protocol.
Als de RPC-inschrijvingsinterface geen pakketprivacy vereist, wordt deze kwetsbaar voor relayaanvallen (ESC11). De IF_ENFORCEENCRYPTICERTREQUEST
vlag is standaard ingeschakeld, maar is vaak uitgeschakeld om clients toe te staan die het vereiste RPC-verificatieniveau niet kunnen ondersteunen, zoals clients met Windows XP.
Vereisten
Deze evaluatie is alleen beschikbaar voor klanten die een sensor op een AD CS-server hebben geïnstalleerd. Zie Nieuw sensortype voor Active Directory Certificate Services (AD CS) voor meer informatie.
Hoe kan ik deze beveiligingsevaluatie gebruiken om mijn beveiligingspostuur van mijn organisatie te verbeteren?
Bekijk de aanbevolen actie voor https://security.microsoft.com/securescore?viewid=actions het afdwingen van versleuteling voor RPC-certificaatinschrijving. Voorbeeld:
Onderzoek waarom de
IF_ENFORCEENCRYPTICERTREQUEST
vlag is uitgeschakeld.Zorg ervoor dat u de
IF_ENFORCEENCRYPTICERTREQUEST
vlag inschakelt om het beveiligingsprobleem te verwijderen.Voer de volgende opdracht uit om de vlag in te schakelen:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Voer de volgende opdracht uit om de service opnieuw te starten:
net stop certsvc & net start certsvc
Zorg ervoor dat u uw instellingen in een gecontroleerde omgeving test voordat u ze inschakelt in productie.
Notitie
Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.
In de rapporten worden de betrokken entiteiten van de afgelopen 30 dagen weergegeven. Na die tijd worden entiteiten die niet meer worden beïnvloed, verwijderd uit de lijst met weergegeven entiteiten.