Sdílet prostřednictvím

Posouzení zabezpečení: Vynucování šifrování pro rozhraní pro zápis certifikátů RPC (ESC11)

  • Článek

Tento článek popisuje sestavu posouzení stavu zabezpečení Microsoft Defender for Identity Vynucení šifrování pro zápis certifikátu RPC.

Co je šifrování pomocí zápisu certifikátu RPC?

Služba AD CS (Active Directory Certificate Services) podporuje zápis certifikátů pomocí protokolu RPC, konkrétně s rozhraním MS-ICPR. V takových případech nastavení certifikační autority určuje nastavení zabezpečení rozhraní RPC, včetně požadavku na ochranu osobních údajů paketů.

IF_ENFORCEENCRYPTICERTREQUEST Pokud je příznak zapnutý, rozhraní RPC přijímá pouze připojení s RPC_C_AUTHN_LEVEL_PKT_PRIVACY úrovní ověřování. Jedná se o nejvyšší úroveň ověřování a vyžaduje podepsání a šifrování každého paketu, aby se zabránilo jakémukoli útoku na přenos. To je podobné jako SMB Signing v protokolu SMB.

Pokud rozhraní pro registraci rpc nevyžaduje ochranu osobních údajů paketů, stane se zranitelným vůči útokům na přenos (ESC11). Příznak IF_ENFORCEENCRYPTICERTREQUEST je ve výchozím nastavení zapnutý, ale často je vypnutý, aby povolil klientům, kteří nepodporují požadovanou úroveň ověřování RPC, jako jsou klienti se systémem Windows XP.

Požadavky

Toto hodnocení je dostupné jenom zákazníkům, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Ad CS (Active Directory Certificate Services).

Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení organizace?

  1. Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions pro vynucení šifrování pro zápis certifikátu RPC. Příklady:

    Snímek obrazovky s doporučením k vynucení šifrování pro rozhraní pro zápis certifikátů RPC (ESC11)

  2. Zjistěte, proč IF_ENFORCEENCRYPTICERTREQUEST je příznak vypnutý.

  3. Nezapomeňte příznak zapnout, IF_ENFORCEENCRYPTICERTREQUEST aby se ohrožení zabezpečení odebralo.

    Pokud chcete příznak zapnout, spusťte:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Pokud chcete službu restartovat, spusťte následující příkaz:

    net stop certsvc & net start certsvc

Před zapnutím v produkčním prostředí nezapomeňte nastavení otestovat v řízeném prostředí.

Poznámka

Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.

Další kroky