Delen via

Beveiligingsevaluatie: Versleuteling afdwingen voor RPC-certificaatinschrijvingsinterface (ESC8) (preview)

  • Artikel

In dit artikel wordt het afdwingen van versleuteling voor het beveiligingspostuurbeoordelingsrapport voor RPC-certificaatinschrijving beschreven.

Wat is versleuteling met RPC-certificaatinschrijving?

Active Directory Certificate Services (AD CS) ondersteunt certificaatinschrijving met behulp van het RPC-protocol, met name met de MS-ICPR-interface. In dergelijke gevallen bepalen de CA-instellingen de beveiligingsinstellingen voor de RPC-interface, inclusief de vereiste voor pakketprivacy.

Als de IF_ENFORCEENCRYPTICERTREQUEST vlag is ingeschakeld, accepteert de RPC-interface alleen verbindingen met het RPC_C_AUTHN_LEVEL_PKT_PRIVACY verificatieniveau. Dit is het hoogste verificatieniveau en vereist dat elk pakket wordt ondertekend en versleuteld om elk type relay-aanval te voorkomen. Dit is vergelijkbaar met SMB Signing in het SMB-protocol.

Als de RPC-inschrijvingsinterface geen pakketprivacy vereist, wordt deze kwetsbaar voor relayaanvallen (ESC8). De IF_ENFORCEENCRYPTICERTREQUEST vlag is standaard ingeschakeld, maar is vaak uitgeschakeld om clients toe te staan die het vereiste RPC-verificatieniveau niet kunnen ondersteunen, zoals clients met Windows XP.

Vereisten

Deze evaluatie is alleen beschikbaar voor klanten die een sensor op een AD CS-server hebben geïnstalleerd. Zie Nieuw sensortype voor Active Directory Certificate Services (AD CS) voor meer informatie.

Hoe kan ik deze beveiligingsevaluatie gebruiken om mijn beveiligingspostuur van mijn organisatie te verbeteren?

  1. Bekijk de aanbevolen actie voor https://security.microsoft.com/securescore?viewid=actions het afdwingen van versleuteling voor RPC-certificaatinschrijving. Voorbeeld:

    Screenshot of the Enforce encryption for RPC certificate enrollment interface (ESC8) recommendation.

  2. Onderzoek waarom de IF_ENFORCEENCRYPTICERTREQUEST vlag is uitgeschakeld.

  3. Zorg ervoor dat u de IF_ENFORCEENCRYPTICERTREQUEST vlag inschakelt om het beveiligingsprobleem te verwijderen.

    Voer de volgende opdracht uit om de vlag in te schakelen:

    certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

    Voer de volgende opdracht uit om de service opnieuw te starten:

    net stop certsvc & net start certsvc

Zorg ervoor dat u uw instellingen in een gecontroleerde omgeving test voordat u ze inschakelt in productie.

Notitie

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.

In de rapporten worden de betrokken entiteiten van de afgelopen 30 dagen weergegeven. Na die tijd worden entiteiten die niet meer worden beïnvloed, verwijderd uit de lijst met weergegeven entiteiten.

Volgende stappen