Säkerhetsbedömning: Framtvinga kryptering för RPC-certifikatregistreringsgränssnitt (ESC8) (förhandsversion)

  • Artikel

I den här artikeln beskrivs Microsoft Defender for Identitys rapport Framtvinga kryptering för RPC-certifikatregistreringssäkerhetsstatus .

Vad är kryptering med RPC-certifikatregistrering?

Active Directory Certificate Services (AD CS) stöder certifikatregistrering med hjälp av RPC-protokollet, särskilt med MS-ICPR-gränssnittet. I sådana fall fastställer CA-inställningarna säkerhetsinställningarna för RPC-gränssnittet, inklusive kravet på paketsekretess.

IF_ENFORCEENCRYPTICERTREQUEST Om flaggan är aktiverad accepterar RPC-gränssnittet endast anslutningar med RPC_C_AUTHN_LEVEL_PKT_PRIVACY autentiseringsnivån. Det här är den högsta autentiseringsnivån och kräver att varje paket signeras och krypteras för att förhindra alla typer av reläattacker. Detta liknar SMB Signing det i SMB-protokollet.

Om RPC-registreringsgränssnittet inte kräver paketsekretess blir det sårbart för reläattacker (ESC8). Flaggan IF_ENFORCEENCRYPTICERTREQUEST är aktiverad som standard, men är ofta inaktiverad för att tillåta klienter som inte har stöd för den RPC-autentiseringsnivå som krävs, till exempel klienter som kör Windows XP.

Förutsättningar

Den här utvärderingen är endast tillgänglig för kunder som har installerat en sensor på en AD CS-server. Mer information finns i Ny sensortyp för Active Directory Certificate Services (AD CS).

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

  1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions att framtvinga kryptering för RPC-certifikatregistrering. Till exempel:

    Screenshot of the Enforce encryption for RPC certificate enrollment interface (ESC8) recommendation.

  2. Ta reda på IF_ENFORCEENCRYPTICERTREQUEST varför flaggan är avstängd.

  3. Se till att aktivera IF_ENFORCEENCRYPTICERTREQUEST flaggan för att ta bort säkerhetsrisken.

    Om du vill aktivera flaggan kör du:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Starta om tjänsten genom att köra:

    net stop certsvc & net start certsvc

Se till att testa inställningarna i en kontrollerad miljö innan du aktiverar dem i produktion.

Kommentar

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.

Nästa steg