KB5005413: Po susediacich útokoch na prenos protokolu NTLM v službe Active Directory Certificate Services (AD CS)

Primárne obmedzenie

Odporúčame zapnúť EPA a vypnúť protokol HTTP na serveroch AD CS. Otvorte správcu Internetové informačné služby (IIS) a vykonajte nasledovné kroky:

1. Povoľte registráciu EPA pre webovú registráciu certifikačnej autority. Vyžaduje sa zabezpečenie a odporúčaná možnosť:

   

2. Povoľte EPA pre webovú službu registrácie certifikátov. Vyžaduje sa zabezpečenie a odporúčaná
   
   možnosť:
   
   Po povolení EPA v používateľskom rozhraní by sa mal súbor Web.config vytvorený rolou CES na lokalite <%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config aktualizovať aj pridaním<extendedProtectionPolicy> nastaveného na hodnotu WhenSupported alebo Always v závislosti od možnosti Rozšírenej ochrany vybratej v používateľskom rozhraní služieb IIS vyššie.

   Poznámka: Nastavenie Vždy sa používa, keď je používateľské rozhranie nastavené na možnosť Povinné,čo je odporúčaná a najbezpečnejšie možnosť.

   Ďalšie informácie o možnostiach dostupných pre rozšírenú SlužbuProtectionPolicynájdete v<> služieb <BasichttpBinding>. Najpravdepodobnejšie použité nastavenia sú:

   <binding name="TransportWithHeaderClientAuth">
        <security mode="Transport">
            <transport clientCredentialType="Windows">
            <extendedProtectionPolicy policyEnforcement="Always" />
            </transport>
            <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
        </security>
        <readerQuotas maxStringContentLength="131072" />
   </binding>
   

3. Povoľte možnosť Vyžadovať SSL, ktorá povolí iba pripojenia HTTPS.
   
   

Ďalšie obmedzenie

Okrem primárnych rizík odporúčame, aby ste tam, kde je to možné, vypli aj overovanie NTLM. Nasledujúce obmedzenie rizík je uvedené v poradí od zabezpečenia až po menej bezpečné:

• Vypnite overovanie NTLM na radiči Windows domény. Dosiahnete to pomocou dokumentácie v časti Zabezpečenie siete: Restrict NTLM: NTLM authentication in this domain (Obmedziť NTLM overovanie v tejto doméne).

• Vypnite NTLM na ľubovoľných serveroch AD CS vo vašej doméne pomocou skupinovej politiky Sieťové zabezpečenie: Restrict NTLM: Incoming NTLM traffic. Ak chcete nakonfigurovať tento objekt GPO, otvorte skupinovú politiku a prejdite na položku Konfigurácia počítača ->Windows Nastavenia -> Zabezpečenie Nastavenia -> Local Policies -> Možnosti zabezpečenia a nastavte položku Sieťové zabezpečenie: Restrict NTLM: Incoming NTLMtraffic to Deny All Accounts alebo Deny All domain accounts.  V prípade potreby môžete pridať výnimky podľa potreby pomocou nastavenia Sieťové zabezpečenie: Obmedziť NTLM: Pridať výnimky servera v tejto doméne.

• Vypnite protokol NTLM pre Internetové informačné služby (IIS) na serveroch AD CS vo vašej doméne, ktoré spúšťajú služby Certificate Authority Web Enrollment alebo Certificate Enrollment Web Service.

Ak to chcete urobiť, otvorte používateľské rozhranie správcu služieb IIS a nastavte Windows vyjednať:Kerberos: 

Ďalšie informácie nájdete v téme Microsoft Security Advisory ADV210003