セキュリティ評価: RPC証明書登録インターフェイス (ESC11) の暗号化適用 (プレビュー)

  • [アーティクル]

この記事では、Microsoft Defender for Identity の RPC 証明書登録用暗号化適用セキュリティ体制評価レポートについて説明します。

RPC 証明書登録を使用した暗号化とは

Active Directory Certificate Services (AD CS) では、RPC プロトコル (具体的には MS-ICPR インターフェイスを使用) を使用した証明書の登録がサポートされています。 このようなケースでは、CA 設定によって、パケット プライバシーの要件を含む RPC インターフェイスのセキュリティ設定が決まります。

IF_ENFORCEENCRYPTICERTREQUEST フラグがオンの場合、RPC インターフェイスは認証レベルとの接続のみを受け入れますRPC_C_AUTHN_LEVEL_PKT_PRIVACY。 これは最も高い認証レベルであり、あらゆる種類のリレー攻撃を防ぐために、各パケットを署名して暗号化する必要があります。 これは SMB プロトコルの SMB Signing に似ています。

RPC 登録インターフェイスでパケット プライバシーが必要ない場合は、リレー攻撃 (ESC11) に対して脆弱になります。 IF_ENFORCEENCRYPTICERTREQUEST フラグはデフォルトでオンになっていますが、多くの場合、Windows XP を実行しているクライアントなど、必要な RPC 認証レベルをサポートできないクライアントを許可するためにオフになっています。

前提条件

この評価は、AD CS サーバーにセンサーをインストールしたお客様のみが利用できます。 詳しくは、「Active Directory 証明書サービス (AD CS) 用の新しいセンサー の種類」を参照してください。

このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。

  1. RPC 証明書の登録に暗号化を適用する場合は、https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。 次に例を示します。

    RPC 証明書登録インターフェイス (ESC11) の暗号化の適用に関する推奨事項のスクリーンショット。

  2. IF_ENFORCEENCRYPTICERTREQUEST フラグがオフになっている理由を調査します。

  3. IF_ENFORCEENCRYPTICERTREQUEST フラグをオンにして脆弱性を排除してください。

    フラグをオンにするには以下を実行します。

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    サービスを再開するには以下を実行します。

    net stop certsvc & net start certsvc

運用環境でオンにする前に、制御された環境で設定をテストしてください。

Note

評価はほぼリアルタイムで更新されますが、スコアと状態の更新は 24 時間ごとです。 影響を受けるエンティティの一覧は、レコメンデーションを実装してから数分以内に更新されますが、状態が完了としてマークされるには時間がかかる場合があります。

レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。

次のステップ