Delen via


Beveiligingsevaluatie: Versleuteling afdwingen voor RPC-certificaatinschrijvingsinterface (ESC11)

In dit artikel wordt het evaluatierapport van Microsoft Defender for Identity Versleuteling afdwingen voor RPC-certificaatinschrijving beschreven.

Wat is versleuteling met RPC-certificaatinschrijving?

Active Directory Certificate Services (AD CS) ondersteunt certificaatinschrijving met behulp van het RPC-protocol, met name met de MS-ICPR-interface. In dergelijke gevallen bepalen de CA-instellingen de beveiligingsinstellingen voor de RPC-interface, inclusief de vereiste voor pakketprivacy.

Als de IF_ENFORCEENCRYPTICERTREQUEST vlag is ingeschakeld, accepteert de RPC-interface alleen verbindingen met het RPC_C_AUTHN_LEVEL_PKT_PRIVACY verificatieniveau. Dit is het hoogste verificatieniveau en vereist dat elk pakket is ondertekend en versleuteld om elk type relay-aanval te voorkomen. Dit is vergelijkbaar met SMB Signing in het SMB-protocol.

Als de RPC-inschrijvingsinterface geen pakketprivacy vereist, wordt deze kwetsbaar voor Relay-aanvallen (ESC11). De IF_ENFORCEENCRYPTICERTREQUEST vlag is standaard ingeschakeld, maar is vaak uitgeschakeld om clients toe te staan die het vereiste RPC-verificatieniveau niet kunnen ondersteunen, zoals clients met Windows XP.

Vereisten

Deze evaluatie is alleen beschikbaar voor klanten die een sensor op een AD CS-server hebben geïnstalleerd. Zie Nieuw sensortype voor Active Directory Certificate Services (AD CS) voor meer informatie.

Hoe kan ik deze beveiligingsevaluatie gebruiken om de beveiligingsstatus van mijn organisatie te verbeteren?

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor het afdwingen van versleuteling voor RPC-certificaatinschrijving. Bijvoorbeeld:

    Schermopname van de aanbeveling Versleuteling afdwingen voor RPC-certificaatinschrijvingsinterface (ESC11).

  2. Onderzoek waarom de IF_ENFORCEENCRYPTICERTREQUEST vlag is uitgeschakeld.

  3. Schakel de IF_ENFORCEENCRYPTICERTREQUEST vlag in om het beveiligingsprobleem te verwijderen.

    Als u de vlag wilt inschakelen, voert u het volgende uit:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
    

    Als u de service opnieuw wilt starten, voert u het volgende uit:

    net stop certsvc & net start certsvc
    

Test uw instellingen in een gecontroleerde omgeving voordat u ze inschakelt in productie.

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Volgende stappen