Jaa

Suojauksen arviointi: Pakota RPC-varmenteen rekisteröintiliittymän salaus (ESC11)

  • Artikkeli

Tässä artikkelissa kuvataan Microsoft Defender for Identity Pakota salaus RPC-varmenteen rekisteröinnin suojausasennon arviointiraportille.

Mikä on RPC-varmenteen rekisteröinnin salaus?

Active Directory Certificate Services (AD CS) tukee varmenteen rekisteröintiä RPC-protokollan avulla erityisesti MS-ICPR-liittymän avulla. Tällaisissa tapauksissa varmenteiden myöntäjän asetukset määrittävät RPC-käyttöliittymän suojausasetukset, mukaan lukien pakettien tietosuojaa koskevat vaatimukset.

IF_ENFORCEENCRYPTICERTREQUEST Jos merkintä on käytössä, RPC-liittymä hyväksyy vain yhteydet, joilla RPC_C_AUTHN_LEVEL_PKT_PRIVACY on todennustaso. Tämä on korkein todennustaso ja edellyttää, että jokainen paketti allekirjoitetaan ja salataan minkä tahansa välityshyökkäyksen estämiseksi. Tämä on samanlainen kuin SMB Signing SMB-protokollassa.

Jos RPC-rekisteröintiliittymä ei vaadi pakettien yksityisyyttä, se on altis välityshyökkäyksille (ESC11). Merkintä IF_ENFORCEENCRYPTICERTREQUEST on oletusarvoisesti käytössä, mutta se on usein poistettu käytöstä, jotta asiakkaat, jotka eivät voi tukea vaadittua RPC-todennustasoa, kuten Windows XP -asiakasohjelmat.

Ennakkovaatimukset

Tämä arviointi on saatavilla vain asiakkaille, jotka ovat asentaneet tunnistimen AD CS -palvelimeen. Lisätietoja on artikkelissa Active Directory -varmennepalvelujen (AD CS) uusi tunnistintyyppi.

Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?

  1. Tarkista suositeltu toiminto kohteessa https://security.microsoft.com/securescore?viewid=actions RPC-varmenteen rekisteröinnin salauksen pakottamiseksi. Esimerkki:

    Näyttökuva Pakota salaus RPC-varmenteen rekisteröintiliittymälle (ESC11) -suosituksesta.

  2. Tutki, IF_ENFORCEENCRYPTICERTREQUEST miksi lippu on poistettu käytöstä.

  3. Varmista, että poistat haavoittuvuuden ottamalla merkinnän IF_ENFORCEENCRYPTICERTREQUEST käyttöön.

    Jos haluat ottaa merkinnän käyttöön, suorita:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Käynnistä palvelu uudelleen suorittamalla:

    net stop certsvc & net start certsvc

Muista testata asetukset hallitussa ympäristössä, ennen kuin otat ne käyttöön tuotannossa.

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.

Seuraavat vaiheet