Compartir a través de

Evaluación de seguridad: Aplicación del cifrado para la interfaz de inscripción de certificados RPC (ESC11)

  • Artículo

En este artículo se describe el informe de evaluación de la posición de seguridad De aplicación del cifrado para la inscripción de certificados RPC de Microsoft Defender for Identity.

¿Qué es el cifrado con la inscripción de certificados RPC?

Servicios de certificados de Active Directory (AD CS) admite la inscripción de certificados mediante el protocolo RPC, específicamente con la interfaz MS-ICPR. En tales casos, la configuración de ca determina la configuración de seguridad de la interfaz RPC, incluido el requisito de privacidad de paquetes.

Si la IF_ENFORCEENCRYPTICERTREQUEST marca está activada, la interfaz RPC solo acepta conexiones con el RPC_C_AUTHN_LEVEL_PKT_PRIVACY nivel de autenticación. Este es el nivel de autenticación más alto y requiere que cada paquete se firme y cifre para evitar cualquier tipo de ataque de retransmisión. Esto es similar a SMB Signing en el protocolo SMB.

Si la interfaz de inscripción rpc no requiere privacidad de paquetes, se vuelve vulnerable a los ataques de retransmisión (ESC11). La IF_ENFORCEENCRYPTICERTREQUEST marca está activada de forma predeterminada, pero a menudo se desactiva para permitir a los clientes que no pueden admitir el nivel de autenticación RPC necesario, como los clientes que ejecutan Windows XP.

Requisitos previos

Esta evaluación solo está disponible para los clientes que han instalado un sensor en un servidor de AD CS. Para obtener más información, vea Nuevo tipo de sensor para Servicios de certificados de Active Directory (AD CS).

Cómo usar esta evaluación de seguridad para mejorar la posición de seguridad de mi organización?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para aplicar el cifrado para la inscripción de certificados RPC. Por ejemplo:

    Captura de pantalla de la recomendación Aplicar cifrado para la interfaz de inscripción de certificados RPC (ESC11).

  2. Investigue por qué se desactiva la IF_ENFORCEENCRYPTICERTREQUEST marca.

  3. Asegúrese de activar la IF_ENFORCEENCRYPTICERTREQUEST marca para quitar la vulnerabilidad.

    Para activar la marca, ejecute:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Para reiniciar el servicio, ejecute:

    net stop certsvc & net start certsvc

Asegúrese de probar la configuración en un entorno controlado antes de activarlas en producción.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Pasos siguientes