Share via

Ocena zabezpieczeń: wymuszanie szyfrowania dla interfejsu rejestracji certyfikatów RPC (ESC8) (wersja zapoznawcza)

  • Artykuł

W tym artykule opisano raport Oceny stanu zabezpieczeń rejestracji certyfikatów usługi Microsoft Defender for Identity dla wymuszania szyfrowania dla certyfikatu RPC.

Co to jest szyfrowanie za pomocą rejestracji certyfikatu RPC?

Usługi certyfikatów Active Directory (AD CS) obsługują rejestrację certyfikatów przy użyciu protokołu RPC, w szczególności z interfejsem MS-ICPR. W takich przypadkach ustawienia urzędu certyfikacji określają ustawienia zabezpieczeń interfejsu RPC, w tym wymagania dotyczące prywatności pakietów.

Jeśli flaga IF_ENFORCEENCRYPTICERTREQUEST jest włączona, interfejs RPC akceptuje tylko połączenia z RPC_C_AUTHN_LEVEL_PKT_PRIVACY poziomem uwierzytelniania. Jest to najwyższy poziom uwierzytelniania i wymaga, aby każdy pakiet był podpisany i zaszyfrowany, aby zapobiec wszelkiemu rodzajowi ataku przekazywania. Jest to podobne do SMB Signing w protokole SMB.

Jeśli interfejs rejestracji RPC nie wymaga prywatności pakietów, staje się podatny na ataki przekazywania (ESC8). Flaga IF_ENFORCEENCRYPTICERTREQUEST jest domyślnie włączona, ale jest często wyłączona, aby umożliwić klientom, którzy nie mogą obsługiwać wymaganego poziomu uwierzytelniania RPC, takich jak klienci z systemem Windows XP.

Wymagania wstępne

Ta ocena jest dostępna tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS. Aby uzyskać więcej informacji, zobacz Nowy typ czujnika dla usług certyfikatów Active Directory (AD CS).

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić poziom zabezpieczeń organizacji?

  1. Zapoznaj się z zalecaną akcją w temacie https://security.microsoft.com/securescore?viewid=actions Wymuszanie szyfrowania dla rejestracji certyfikatu RPC. Na przykład:

    Screenshot of the Enforce encryption for RPC certificate enrollment interface (ESC8) recommendation.

  2. Zbadaj, dlaczego flaga jest wyłączona IF_ENFORCEENCRYPTICERTREQUEST .

  3. Pamiętaj, aby włączyć flagę IF_ENFORCEENCRYPTICERTREQUEST w celu usunięcia luki w zabezpieczeniach.

    Aby włączyć flagę, uruchom polecenie:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Aby ponownie uruchomić usługę, uruchom polecenie:

    net stop certsvc & net start certsvc

Pamiętaj, aby przetestować ustawienia w kontrolowanym środowisku przed włączeniem ich w środowisku produkcyjnym.

Uwaga

Chociaż oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Chociaż lista jednostek, których dotyczy ten wpływ, zostanie zaktualizowana w ciągu kilku minut od wdrożenia zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Raporty pokazują jednostki, których dotyczy problem z ostatnich 30 dni. Po tym czasie jednostki, których nie dotyczy problem, zostaną usunięte z listy uwidocznionych jednostek.

Następne kroki