보안 평가: RPC 인증서 등록 인터페이스에 대한 암호화 적용(ESC11)
이 문서에서는 Microsoft Defender for Identity RPC 인증서 등록 보안 상태 평가 보고서에 대한 암호화 적용에 대해 설명합니다.
RPC 인증서 등록을 사용하는 암호화란?
AD CS(Active Directory Certificate Services)는 특히 MS-ICPR 인터페이스에서 RPC 프로토콜을 사용하여 인증서 등록을 지원합니다. 이러한 경우 CA 설정은 패킷 개인 정보 보호 요구 사항을 포함하여 RPC 인터페이스에 대한 보안 설정을 결정합니다.
플래그가 IF_ENFORCEENCRYPTICERTREQUEST 켜져 있는 경우 RPC 인터페이스는 인증 수준과의 RPC_C_AUTHN_LEVEL_PKT_PRIVACY 연결만 허용합니다. 이는 가장 높은 인증 수준이며 모든 종류의 릴레이 공격을 방지하기 위해 각 패킷에 서명하고 암호화해야 합니다. 이는 SMB 프로토콜의 경우와 비슷합니다 SMB Signing .
RPC 등록 인터페이스에 패킷 개인 정보 보호가 필요하지 않은 경우 릴레이 공격(ESC11)에 취약해집니다. 플래그는 IF_ENFORCEENCRYPTICERTREQUEST 기본적으로 켜져 있지만 Windows XP를 실행하는 클라이언트와 같이 필요한 RPC 인증 수준을 지원할 수 없는 클라이언트를 허용하기 위해 꺼져 있는 경우가 많습니다.
필수 구성 요소
이 평가는 AD CS 서버에 센서를 설치한 고객만 사용할 수 있습니다. 자세한 내용은 AD CS(Active Directory Certificate Services)의 새 센서 유형을 참조하세요.
이 보안 평가를 사용하여 조직 보안 상태를 개선할 어떻게 할까요? 있나요?
에서 권장되는 작업을 https://security.microsoft.com/securescore?viewid=actions 검토하여 RPC 인증서 등록에 대한 암호화를 적용합니다. 예시:
플래그가
IF_ENFORCEENCRYPTICERTREQUEST꺼진 이유를 조사합니다.플래그를
IF_ENFORCEENCRYPTICERTREQUEST켜서 취약성을 제거해야 합니다.플래그를 켜려면 다음을 실행합니다.
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST서비스를 다시 시작하려면 다음을 실행합니다.
net stop certsvc & net start certsvc
프로덕션 환경에서 설정을 켜기 전에 제어된 환경에서 설정을 테스트해야 합니다.
참고
평가는 거의 실시간으로 업데이트되지만 점수와 상태는 24시간마다 업데이트됩니다. 영향을 받은 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.