Avaliação de segurança: Impor criptografia para interface de registro de certificado RPC (ESC8) (Visualização)
Este artigo descreve o relatório de avaliação de postura de segurança de registro de segurança de criptografia Enforce do Microsoft Defender for Identity.
O que é criptografia com registro de certificado RPC?
Os Serviços de Certificados do Ative Directory (AD CS) oferecem suporte ao registro de certificados usando o protocolo RPC, especificamente com a interface MS-ICPR. Nesses casos, as configurações da autoridade de certificação determinam as configurações de segurança para a interface RPC, incluindo o requisito de privacidade de pacotes.
Se o sinalizador estiver ativado, a interface RPC só aceita conexões com o IF_ENFORCEENCRYPTICERTREQUEST
nível de RPC_C_AUTHN_LEVEL_PKT_PRIVACY
autenticação. Este é o nível de autenticação mais alto e requer que cada pacote seja assinado e criptografado para evitar qualquer tipo de ataque de retransmissão. Isto é semelhante ao SMB Signing
protocolo SMB.
Se a interface de registro RPC não exigir privacidade de pacotes, ela ficará vulnerável a ataques de retransmissão (ESC8). O IF_ENFORCEENCRYPTICERTREQUEST
sinalizador está ativado por padrão, mas geralmente é desativado para permitir clientes que não podem suportar o nível de autenticação RPC necessário, como clientes que executam o Windows XP.
Pré-requisitos
Essa avaliação está disponível apenas para clientes que instalaram um sensor em um servidor AD CS. Para obter mais informações, consulte Novo tipo de sensor para os Serviços de Certificados do Ative Directory (AD CS).
Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?
Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para impor a criptografia para o registro de certificado RPC. Por exemplo:
Pesquise por que a
IF_ENFORCEENCRYPTICERTREQUEST
bandeira está desligada.Certifique-se de ativar o
IF_ENFORCEENCRYPTICERTREQUEST
sinalizador para remover a vulnerabilidade.Para ativar o sinalizador, execute:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Para reiniciar o serviço, execute:
net stop certsvc & net start certsvc
Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.
Nota
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.
Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que não forem mais afetadas serão removidas da lista de entidades expostas.