Partager via

Évaluation de la sécurité : Appliquer le chiffrement pour l’interface d’inscription de certificat RPC (ESC11)

  • Article

Cet article décrit Microsoft Defender pour Identity rapport d’évaluation de la posture de sécurité appliquer le chiffrement pour l’inscription de certificat RPC.

Qu’est-ce que le chiffrement avec l’inscription de certificat RPC ?

Les services de certificats Active Directory (AD CS) prennent en charge l’inscription de certificats à l’aide du protocole RPC, en particulier avec l’interface MS-ICPR. Dans ce cas, les paramètres de l’autorité de certification déterminent les paramètres de sécurité de l’interface RPC, y compris l’exigence de confidentialité des paquets.

Si l’indicateur IF_ENFORCEENCRYPTICERTREQUEST est activé, l’interface RPC accepte uniquement les connexions avec le niveau d’authentification RPC_C_AUTHN_LEVEL_PKT_PRIVACY . Il s’agit du niveau d’authentification le plus élevé et nécessite que chaque paquet soit signé et chiffré afin d’éviter tout type d’attaque de relais. Cela est similaire à SMB Signing dans le protocole SMB.

Si l’interface d’inscription RPC ne nécessite pas la confidentialité des paquets, elle devient vulnérable aux attaques par relais (ESC11). L’indicateur IF_ENFORCEENCRYPTICERTREQUEST est activé par défaut, mais il est souvent désactivé pour autoriser les clients qui ne peuvent pas prendre en charge le niveau d’authentification RPC requis, tels que les clients exécutant Windows XP.

Configuration requise

Cette évaluation est disponible uniquement pour les clients qui ont installé un capteur sur un serveur AD CS. Pour plus d’informations, consultez Nouveau type de capteur pour les services de certificats Active Directory (AD CS).

Comment faire utiliser cette évaluation de la sécurité pour améliorer la posture de sécurité de mon organisation ?

  1. Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour appliquer le chiffrement pour l’inscription de certificat RPC. Par exemple :

    Capture d’écran de la recommandation Appliquer le chiffrement pour l’interface d’inscription de certificat RPC (ESC11).

  2. Recherchez pourquoi l’indicateur IF_ENFORCEENCRYPTICERTREQUEST est désactivé.

  3. Veillez à activer l’indicateur IF_ENFORCEENCRYPTICERTREQUEST pour supprimer la vulnérabilité.

    Pour activer l’indicateur, exécutez :

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Pour redémarrer le service, exécutez :

    net stop certsvc & net start certsvc

Veillez à tester vos paramètres dans un environnement contrôlé avant de les activer en production.

Remarque

Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.

Étapes suivantes