安全性評估:強制加密 ESC11 (RPC 憑證註冊介面)
本文說明 適用於身分識別的 Microsoft Defender的強制加密 RPC 憑證註冊安全性狀態評估報告。
什麼是 RPC 憑證註冊的加密?
Active Directory 憑證服務 (AD CS) 支援使用 RPC 通訊協議進行憑證註冊,特別是使用 MS-ICPR 介面。 在這種情況下,CA 設定會決定 RPC 介面的安全性設定,包括封包隱私權的需求。
IF_ENFORCEENCRYPTICERTREQUEST如果旗標已開啟,RPC 介面只會接受具有驗證層級的RPC_C_AUTHN_LEVEL_PKT_PRIVACY連線。 這是最高的驗證層級,而且需要簽署和加密每個封包,以避免任何類型的轉送攻擊。 這類似於 SMB Signing SMB 通訊協定中的 。
如果 RPC 註冊介面不需要封包隱私權,就很容易受到 ESC11) (轉送攻擊。 旗 IF_ENFORCEENCRYPTICERTREQUEST 標預設為開啟,但通常會關閉,以允許無法支援必要 RPC 驗證層級的用戶端,例如執行 Windows XP 的用戶端。
必要條件
此評量僅適用於已在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊,請 參閱 Active Directory 憑證服務的新感測器類型 (AD CS) 。
如何? 使用此安全性評估來改善我的組織安全性狀態嗎?
檢閱 在上強制執行 RPC 憑證註冊加密的建議動作 https://security.microsoft.com/securescore?viewid=actions 。 例如:
研究旗標關閉的原因
IF_ENFORCEENCRYPTICERTREQUEST。請務必開啟
IF_ENFORCEENCRYPTICERTREQUEST旗標以移除弱點。若要開啟 旗標,請執行:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST若要重新啟動服務,請執行:
net stop certsvc & net start certsvc
在生產環境中開啟設定之前,請務必先在受控制環境中測試設定。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。