安全评估：为 RPC 证书注册接口强制执行加密 (ESC11)（预览）

本文介绍了 Microsoft Defender for Identity 的强制加密 RPC 证书注册接口 (ESC11) 安全状态评估报告。

什么是 RPC 证书注册加密？

Active Directory 证书服务 (AD CS) 支持使用 RPC 协议（特别是 MS-ICPR 接口）进行证书注册。 在这种情况下，CA 设置决定了 RPC 接口的安全设置，包括对数据包隐私的要求。

如果打开 IF_ENFORCEENCRYPTICERTREQUEST 标志，RPC 接口只接受 RPC_C_AUTHN_LEVEL_PKT_PRIVACY 身份验证级别的连接。 这是最高的身份验证级别，要求对每个数据包进行签名和加密，以防止任何形式的中继攻击。 这类似于 SMB 协议中的 SMB Signing。

如果 RPC 注册接口不要求数据包保密，则很容易受到中继攻击 (ESC11)。 IF_ENFORCEENCRYPTICERTREQUEST 标志默认为打开，但通常会关闭以允许不支持所需 RPC 身份验证级别的客户端（如运行 Windows XP 的客户端）使用。

先决条件

此评估仅适用于已在 AD CS 服务器上安装传感器的客户。 有关详细信息，请参阅 Active Directory 证书服务 (AD CS) 的新传感器类型。

如何实现使用此安全评估优化组织的安全状况？

1. 查看 https://security.microsoft.com/securescore?viewid=actions 中关于为 RPC 证书注册执行加密的建议操作。 例如：

   

2. 研究关闭 IF_ENFORCEENCRYPTICERTREQUEST 标志的原因。

3. 确保打开 IF_ENFORCEENCRYPTICERTREQUEST 标志以消除漏洞。

   要打开标志，请运行：

   certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
   

   要重新启动服务，请运行：

   net stop certsvc & net start certsvc
   

在生产环境中启用之前，请确保在受控环境中对设置进行测试。

注意

虽然评估会近实时更新，但分数和状态只会每隔 24 小时更新一次。 虽然受影响实体的列表会在实施建议后的几分钟内更新，但可能需要一段时间才能将状态标记为已完成。

报告显示过去 30 天内受影响的实体。 之后，不再受影响的实体将从公开的实体列表中移除。

后续步骤

• 详细了解 Microsoft 安全功能分数
• 查看 Defender for Identity 论坛！