Säkerhetsbedömning: Framtvinga kryptering för RPC-certifikatregistreringsgränssnitt (ESC8) (förhandsversion)
I den här artikeln beskrivs Microsoft Defender for Identitys rapport Framtvinga kryptering för RPC-certifikatregistreringssäkerhetsstatus .
Vad är kryptering med RPC-certifikatregistrering?
Active Directory Certificate Services (AD CS) stöder certifikatregistrering med hjälp av RPC-protokollet, särskilt med MS-ICPR-gränssnittet. I sådana fall fastställer CA-inställningarna säkerhetsinställningarna för RPC-gränssnittet, inklusive kravet på paketsekretess.
IF_ENFORCEENCRYPTICERTREQUEST
Om flaggan är aktiverad accepterar RPC-gränssnittet endast anslutningar med RPC_C_AUTHN_LEVEL_PKT_PRIVACY
autentiseringsnivån. Det här är den högsta autentiseringsnivån och kräver att varje paket signeras och krypteras för att förhindra alla typer av reläattacker. Detta liknar SMB Signing
det i SMB-protokollet.
Om RPC-registreringsgränssnittet inte kräver paketsekretess blir det sårbart för reläattacker (ESC8). Flaggan IF_ENFORCEENCRYPTICERTREQUEST
är aktiverad som standard, men är ofta inaktiverad för att tillåta klienter som inte har stöd för den RPC-autentiseringsnivå som krävs, till exempel klienter som kör Windows XP.
Förutsättningar
Den här utvärderingen är endast tillgänglig för kunder som har installerat en sensor på en AD CS-server. Mer information finns i Ny sensortyp för Active Directory Certificate Services (AD CS).
Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?
Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions att framtvinga kryptering för RPC-certifikatregistrering. Till exempel:
Ta reda på
IF_ENFORCEENCRYPTICERTREQUEST
varför flaggan är avstängd.Se till att aktivera
IF_ENFORCEENCRYPTICERTREQUEST
flaggan för att ta bort säkerhetsrisken.Om du vill aktivera flaggan kör du:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Starta om tjänsten genom att köra:
net stop certsvc & net start certsvc
Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.
Kommentar
Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.
Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.