安全评估:为 RPC 证书注册接口强制执行加密 (ESC11)(预览)
本文介绍了 Microsoft Defender for Identity 的强制加密 RPC 证书注册接口 (ESC11) 安全状态评估报告。
什么是 RPC 证书注册加密?
Active Directory 证书服务 (AD CS) 支持使用 RPC 协议(特别是 MS-ICPR 接口)进行证书注册。 在这种情况下,CA 设置决定了 RPC 接口的安全设置,包括对数据包隐私的要求。
如果打开 IF_ENFORCEENCRYPTICERTREQUEST
标志,RPC 接口只接受 RPC_C_AUTHN_LEVEL_PKT_PRIVACY
身份验证级别的连接。 这是最高的身份验证级别,要求对每个数据包进行签名和加密,以防止任何形式的中继攻击。 这类似于 SMB 协议中的 SMB Signing
。
如果 RPC 注册接口不要求数据包保密,则很容易受到中继攻击 (ESC11)。 IF_ENFORCEENCRYPTICERTREQUEST
标志默认为打开,但通常会关闭以允许不支持所需 RPC 身份验证级别的客户端(如运行 Windows XP 的客户端)使用。
先决条件
此评估仅适用于已在 AD CS 服务器上安装传感器的客户。 有关详细信息,请参阅 Active Directory 证书服务 (AD CS) 的新传感器类型。
如何实现使用此安全评估优化组织的安全状况?
查看 https://security.microsoft.com/securescore?viewid=actions 中关于为 RPC 证书注册执行加密的建议操作。 例如:
研究关闭
IF_ENFORCEENCRYPTICERTREQUEST
标志的原因。确保打开
IF_ENFORCEENCRYPTICERTREQUEST
标志以消除漏洞。要打开标志,请运行:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
要重新启动服务,请运行:
net stop certsvc & net start certsvc
在生产环境中启用之前,请确保在受控环境中对设置进行测试。
注意
虽然评估会近实时更新,但分数和状态只会每隔 24 小时更新一次。 虽然受影响实体的列表会在实施建议后的几分钟内更新,但可能需要一段时间才能将状态标记为已完成。
报告显示过去 30 天内受影响的实体。 之后,不再受影响的实体将从公开的实体列表中移除。