Avaliação de segurança: Impor criptografia para interface de registro de certificado RPC (ESC8) (Visualização)

  • Artigo

Este artigo descreve o relatório de avaliação de postura de segurança de registro de segurança de criptografia Enforce do Microsoft Defender for Identity.

O que é criptografia com registro de certificado RPC?

Os Serviços de Certificados do Ative Directory (AD CS) oferecem suporte ao registro de certificados usando o protocolo RPC, especificamente com a interface MS-ICPR. Nesses casos, as configurações da autoridade de certificação determinam as configurações de segurança para a interface RPC, incluindo o requisito de privacidade de pacotes.

Se o sinalizador estiver ativado, a interface RPC só aceita conexões com o IF_ENFORCEENCRYPTICERTREQUEST nível de RPC_C_AUTHN_LEVEL_PKT_PRIVACY autenticação. Este é o nível de autenticação mais alto e requer que cada pacote seja assinado e criptografado para evitar qualquer tipo de ataque de retransmissão. Isto é semelhante ao SMB Signing protocolo SMB.

Se a interface de registro RPC não exigir privacidade de pacotes, ela ficará vulnerável a ataques de retransmissão (ESC8). O IF_ENFORCEENCRYPTICERTREQUEST sinalizador está ativado por padrão, mas geralmente é desativado para permitir clientes que não podem suportar o nível de autenticação RPC necessário, como clientes que executam o Windows XP.

Pré-requisitos

Essa avaliação está disponível apenas para clientes que instalaram um sensor em um servidor AD CS. Para obter mais informações, consulte Novo tipo de sensor para os Serviços de Certificados do Ative Directory (AD CS).

Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para impor a criptografia para o registro de certificado RPC. Por exemplo:

    Screenshot of the Enforce encryption for RPC certificate enrollment interface (ESC8) recommendation.

  2. Pesquise por que a IF_ENFORCEENCRYPTICERTREQUEST bandeira está desligada.

  3. Certifique-se de ativar o IF_ENFORCEENCRYPTICERTREQUEST sinalizador para remover a vulnerabilidade.

    Para ativar o sinalizador, execute:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Para reiniciar o serviço, execute:

    net stop certsvc & net start certsvc

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Nota

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que não forem mais afetadas serão removidas da lista de entidades expostas.

Próximos passos