Share via

Avaliação de segurança: impor criptografia para a interface de registro de certificado RPC (ESC8) (Visualização)

  • Artigo

Este artigo descreve o relatório de avaliação de postura de segurança Impor criptografia do Microsoft Defender for Identity para registro de certificado RPC .

O que é criptografia com registro de certificado RPC?

Os Serviços de Certificados do Active Directory (AD CS) oferecem suporte ao registro de certificado usando o protocolo RPC, especificamente com a interface MS-ICPR. Nesses casos, as configurações de autoridade de certificação determinam as configurações de segurança para a interface RPC, incluindo o requisito de privacidade de pacotes.

Se o sinalizador estiver ativado, a interface RPC só aceitará conexões com o IF_ENFORCEENCRYPTICERTREQUEST nível de RPC_C_AUTHN_LEVEL_PKT_PRIVACY autenticação. Este é o nível de autenticação mais alto e requer que cada pacote seja assinado e criptografado para evitar qualquer tipo de ataque de retransmissão. Isso é semelhante ao SMB Signing protocolo SMB.

Se a interface de registro RPC não exigir privacidade de pacote, ela se tornará vulnerável a ataques de retransmissão (ESC8). O IF_ENFORCEENCRYPTICERTREQUEST sinalizador está ativado por padrão, mas geralmente é desativado para permitir que clientes que não podem oferecer suporte ao nível de autenticação RPC necessário, como clientes que executam o Windows XP.

Pré-requisitos

Essa avaliação está disponível apenas para clientes que instalaram um sensor em um servidor AD CS. Para obter mais informações, consulte Novo tipo de sensor para os Serviços de Certificados do Active Directory (AD CS).

Como usar essa avaliação de segurança para melhorar minha postura de segurança organizacional?

  1. Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para impor criptografia para registro de certificado RPC. Por exemplo:

    Screenshot of the Enforce encryption for RPC certificate enrollment interface (ESC8) recommendation.

  2. Pesquise por que a IF_ENFORCEENCRYPTICERTREQUEST bandeira está desligada.

  3. Certifique-se de ativar o IF_ENFORCEENCRYPTICERTREQUEST sinalizador para remover a vulnerabilidade.

    Para ativar o sinalizador, execute:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Para reiniciar o serviço, execute:

    net stop certsvc & net start certsvc

Certifique-se de testar suas configurações em um ambiente controlado antes de ativá-las na produção.

Observação

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades não mais afetadas serão removidas da lista de entidades expostas.

Próximas etapas