Aracılığıyla paylaş

Güvenlik değerlendirmesi: RPC sertifika kayıt arabirimi (ESC11) için şifrelemeyi zorunlu kılma (Önizleme)

  • Makale

Bu makalede, Kimlik için Microsoft Defender RPC sertifika kaydı güvenlik duruşu değerlendirme raporu için şifrelemeyi zorunlu kılma raporu açıklanmaktadır.

RPC sertifika kaydı ile şifreleme nedir?

Active Directory Sertifika Hizmetleri (AD CS), ÖZELLIKLE MS-ICPR arabirimiyle RPC protokolünü kullanarak sertifika kaydını destekler. Bu gibi durumlarda CA ayarları, paket gizliliği gereksinimi de dahil olmak üzere RPC arabiriminin güvenlik ayarlarını belirler.

IF_ENFORCEENCRYPTICERTREQUEST Bayrak açıksa, RPC arabirimi yalnızca kimlik doğrulama düzeyine RPC_C_AUTHN_LEVEL_PKT_PRIVACY sahip bağlantıları kabul eder. Bu en yüksek kimlik doğrulama düzeyidir ve her tür geçiş saldırısını önlemek için her paketin imzalanmasını ve şifrelenmesini gerektirir. Bu, SMB protokolündekine SMB Signing benzer.

RPC kayıt arabirimi paket gizliliği gerektirmezse geçiş saldırılarına (ESC11) karşı savunmasız hale gelir. IF_ENFORCEENCRYPTICERTREQUEST Bayrak varsayılan olarak açıktır, ancak windows XP çalıştıran istemciler gibi gerekli RPC kimlik doğrulama düzeyini desteklemeyen istemcilere izin vermek için genellikle kapalıdır.

Önkoşullar

Bu değerlendirme yalnızca AD CS sunucusuna algılayıcı yüklemiş olan müşteriler tarafından kullanılabilir. Daha fazla bilgi için bkz . Active Directory Sertifika Hizmetleri (AD CS) için yeni algılayıcı türü.

Kurumsal güvenlik duruşumu geliştirmek için bu güvenlik değerlendirmesini Nasıl yaparım? kullanın?

  1. RPC sertifika kaydı için şifrelemeyi zorlamak için adresinde önerilen eylemi https://security.microsoft.com/securescore?viewid=actions gözden geçirin. Örneğin:

    RPC sertifika kayıt arabirimi (ESC11) için şifrelemeyi zorunlu kılma önerisinin ekran görüntüsü.

  2. Bayrağın IF_ENFORCEENCRYPTICERTREQUEST neden kapatılmış olduğunu araştırın.

  3. Güvenlik açığını kaldırmak için bayrağını açtığınızdan IF_ENFORCEENCRYPTICERTREQUEST emin olun.

    Bayrağı açmak için şunu çalıştırın:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Hizmeti yeniden başlatmak için şunu çalıştırın:

    net stop certsvc & net start certsvc

Ayarlarınızı üretim ortamında açmadan önce denetimli bir ortamda test edin.

Not

Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.

Raporlar, son 30 güne ait etkilenen varlıkları gösterir. Bu süreden sonra, bundan etkilenmeyecek varlıklar kullanıma sunulan varlıklar listesinden kaldırılacaktır.

Sonraki adımlar