安全性評估:強制執行 RPC 憑證註冊介面的加密 (ESC8) (預覽)
本文說明 適用於身分識別的 Microsoft Defender 針對 RPC 憑證註冊安全性狀態評估報告強制執行加密。
什麼是使用 RPC 憑證註冊加密?
Active Directory 憑證服務 (AD CS) 支援使用 RPC 通訊協議來註冊憑證,特別是 MS-ICPR 介面。 在這種情況下,CA 設定會決定 RPC 介面的安全性設定,包括封包隱私權的需求。
IF_ENFORCEENCRYPTICERTREQUEST
如果旗標已開啟,RPC 介面只會接受與驗證層級的RPC_C_AUTHN_LEVEL_PKT_PRIVACY
連線。 這是最高的驗證層級,而且需要簽署和加密每個封包,以防止任何類型的轉送攻擊。 這類似於 SMB Signing
SMB通訊協定。
如果 RPC 註冊介面不需要封包隱私權,它就會變得容易遭受轉送攻擊 (ESC8)。 旗 IF_ENFORCEENCRYPTICERTREQUEST
標預設為開啟,但通常會關閉以允許不支援所需 RPC 驗證層級的用戶端,例如執行 Windows XP 的用戶端。
必要條件
此評量僅適用於已在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊,請參閱 Active Directory 憑證服務的新感測器類型(AD CS)。
如何? 使用此安全性評定來改善我的組織安全性狀態?
請檢閱 的建議動作, https://security.microsoft.com/securescore?viewid=actions 以強制執行 RPC 憑證註冊的加密。 例如:
研究旗標
IF_ENFORCEENCRYPTICERTREQUEST
為何關閉。請務必開啟
IF_ENFORCEENCRYPTICERTREQUEST
旗標以移除弱點。若要開啟旗標,請執行:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
若要重新啟動服務,請執行:
net stop certsvc & net start certsvc
在生產環境中開啟設定之前,請務必先在受控制的環境中測試您的設定。
注意
雖然評定會近乎即時地更新,但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間才能將其標示為 已完成。
報告會顯示過去 30 天內受影響的實體。 在那段時間之後,將不再受影響的實體會從公開的實體清單中移除。