Оценка безопасности. Принудительное шифрование для интерфейса регистрации сертификатов RPC (ESC11) (предварительная версия)

В этой статье описывается Microsoft Defender для удостоверений принудительное шифрование для отчета о оценке безопасности регистрации сертификатов RPC.

Что такое шифрование с регистрацией сертификата RPC?

Службы сертификатов Active Directory (AD CS) поддерживают регистрацию сертификатов с помощью протокола RPC, в частности с интерфейсом MS-ICPR. В таких случаях параметры ЦС определяют параметры безопасности для интерфейса RPC, включая требование конфиденциальности пакетов.

IF_ENFORCEENCRYPTICERTREQUEST Если флаг включен, интерфейс RPC принимает подключения только с RPC_C_AUTHN_LEVEL_PKT_PRIVACY уровнем проверки подлинности. Это самый высокий уровень проверки подлинности и требует, чтобы каждый пакет был подписан и зашифрован, чтобы предотвратить любую атаку ретранслятора. Это аналогично SMB Signing протоколу SMB.

Если интерфейс регистрации RPC не требует конфиденциальности пакетов, он становится уязвимым для атак ретрансляции (ESC11). Флаг IF_ENFORCEENCRYPTICERTREQUEST включен по умолчанию, но часто отключается, чтобы разрешить клиентам, которые не могут поддерживать требуемый уровень проверки подлинности RPC, например клиенты под управлением Windows XP.

Необходимые компоненты

Эта оценка доступна только клиентам, которые установили датчик на сервере CS AD. Дополнительные сведения см. в разделе "Новый тип датчика" для служб сертификатов Active Directory (AD CS).

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

  1. Ознакомьтесь с рекомендуемыми действиями https://security.microsoft.com/securescore?viewid=actions по применению шифрования для регистрации сертификата RPC. Например:

    Снимок экрана: рекомендация

  2. Исследования, почему IF_ENFORCEENCRYPTICERTREQUEST флаг отключен.

  3. Убедитесь, что флаг включен IF_ENFORCEENCRYPTICERTREQUEST , чтобы удалить уязвимость.

    Чтобы включить флаг, выполните следующую команду:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
    

    Чтобы перезапустить службу, выполните следующую команду:

    net stop certsvc & net start certsvc
    

Перед включением параметров в рабочей среде обязательно протестируйте параметры в управляемой среде.

Примечание.

Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.

В отчетах отображаются затронутые сущности за последние 30 дней. После этого сущности больше не будут затронуты из списка предоставляемых сущностей.

Следующие шаги