Del via

Sikkerhetsvurdering: Fremtving kryptering for RPC-sertifikatregistreringsgrensesnitt (ESC11)

  • Artikkel

Denne artikkelen beskriver Microsoft Defender for identitet's Enforce kryptering for RPC sertifikat registrering sikkerhet holdning vurdering rapport.

Hva er kryptering med registrering av RPC-sertifikat?

Active Directory Certificate Services (AD CS) støtter sertifikatregistrering ved hjelp av RPC-protokollen, spesielt med MS-ICPR-grensesnittet. I slike tilfeller bestemmer CA-innstillingene sikkerhetsinnstillingene for RPC-grensesnittet, inkludert kravet om pakkepersonvern.

IF_ENFORCEENCRYPTICERTREQUEST Hvis flagget er aktivert, godtar RPC-grensesnittet bare tilkoblinger med RPC_C_AUTHN_LEVEL_PKT_PRIVACY godkjenningsnivået. Dette er det høyeste godkjenningsnivået, og krever at hver pakke signeres og krypteres for å forhindre noen form for reléangrep. Dette ligner SMB Signing på SMB-protokollen.

Hvis grensesnittet for RPC-registrering ikke krever pakkepersonvern, blir det sårbart for videresending av angrep (ESC11). Flagget IF_ENFORCEENCRYPTICERTREQUEST er aktivert som standard, men er ofte deaktivert for å tillate klienter som ikke kan støtte det nødvendige RPC-godkjenningsnivået, for eksempel klienter som kjører Windows XP.

Forutsetninger

Denne vurderingen er bare tilgjengelig for kunder som har installert en sensor på en AD CS-server. Hvis du vil ha mer informasjon, kan du se Ny sensortype for Active Directory Certificate Services (AD CS).

Hvordan bruke denne sikkerhetsvurderingen til å forbedre min organisatoriske sikkerhetsstilling?

  1. Se gjennom den anbefalte handlingen https://security.microsoft.com/securescore?viewid=actions for aktivering av kryptering for RPC-sertifikatregistrering. Eksempel:

    Skjermbilde av anbefalingen Fremtving kryptering for RPC-sertifikatregistreringsgrensesnitt (ESC11).

  2. Undersøk hvorfor IF_ENFORCEENCRYPTICERTREQUEST flagget er slått av.

  3. Pass på å aktivere IF_ENFORCEENCRYPTICERTREQUEST flagget for å fjerne sikkerhetsproblemet.

    Hvis du vil aktivere flagget, kjører du:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Hvis du vil starte tjenesten på nytt, kjører du:

    net stop certsvc & net start certsvc

Sørg for å teste innstillingene i et kontrollert miljø før du slår dem på i produksjon.

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Neste trinn