安全评估:强制加密 RPC 证书注册接口 (ESC8) (预览版)
本文介绍 Microsoft Defender for Identity 对 RPC 证书注册 安全状况评估报告的强制加密。
什么是使用 RPC 证书注册的加密?
Active Directory 证书服务(AD CS)支持使用 RPC 协议(特别是 MS-ICPR 接口)进行证书注册。 在这种情况下,CA 设置确定 RPC 接口的安全设置,包括数据包隐私要求。
IF_ENFORCEENCRYPTICERTREQUEST如果标志处于打开状态,RPC 接口仅接受与RPC_C_AUTHN_LEVEL_PKT_PRIVACY身份验证级别的连接。 这是最高身份验证级别,要求对每个数据包进行签名和加密,以防止任何类型的中继攻击。 这类似于 SMB Signing SMB 协议。
如果 RPC 注册接口不需要数据包隐私,则容易受到中继攻击(ESC8)的攻击。 该 IF_ENFORCEENCRYPTICERTREQUEST 标志默认处于打开状态,但通常会关闭以允许不支持所需 RPC 身份验证级别的客户端,例如运行 Windows XP 的客户端。
先决条件
此评估仅适用于在 AD CS 服务器上安装了传感器的客户。 有关详细信息,请参阅 Active Directory 证书服务的新传感器类型(AD CS)。
如何实现使用此安全评估来改善组织安全状况?
查看有关强制实施 RPC 证书注册加密的建议操作 https://security.microsoft.com/securescore?viewid=actions 。 例如:
研究关闭标志的原因
IF_ENFORCEENCRYPTICERTREQUEST。请确保打开
IF_ENFORCEENCRYPTICERTREQUEST标志以删除漏洞。若要打开标志,请运行:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST若要重启服务,请运行:
net stop certsvc & net start certsvc
在生产环境中启用设置之前,请确保在受控环境中测试设置。
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。
报告显示过去 30 天内受影响的实体。 之后,不再受影响的实体将从公开的实体列表中删除。