KB5005413: Minska NTLM-reläattacker på AD CS (Active Directory Certificate Services)

Primära minskningar

Vi rekommenderar att du aktiverar OCH inaktiverar HTTP på AD CS-servrar. Öppna Internet Information Services (IIS)-hanteraren och gör följande:

1. Aktivera SÅ HÄR AKTIVERAR DU FÖR CERTIFIKATutfärdare för webbregistrering: Ett säkrare och rekommenderade alternativ krävs:

   

2. Aktivera DATAKN för webbtjänsten Certifikatregistrering, krävs det säkrare och rekommenderade alternativet:
   
   
   
   När DU har aktivera SMTP i användargränssnittet bör Web.config-filen som skapats av CES-rollen vid <%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config också uppdateras genom att lägga till<extendedProtectionPolicy>-uppsättning med värdet antingen WhenSupported eller Always beroende på alternativet Utökat skydd som är markerat i IIS-användargränssnittet ovan.

   Obs!: Inställningen Alltid används när användargränssnittet är inställt på Obligatoriskt,vilket är det rekommenderade och säkraste alternativet.

   Mer information om de tillgängliga alternativen för extendedProtectionPolicyfinns i<transport> <BasicHttpBinding>. De inställningar som mest sannolikt används är följande:

   <binding name="TransportWithHeaderClientAuth">
        <security mode="Transport">
            <transport clientCredentialType="Windows">
            <extendedProtectionPolicy policyEnforcement="Always" />
            </transport>
            <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
        </security>
        <readerQuotas maxStringContentLength="131072" />
   </binding>
   

3. Aktivera Kräv SSL,vilket endast aktiverar HTTPS-anslutningar.
   
   

Ytterligare åtgärder

Förutom de primära minskningarna rekommenderar vi att du inaktiverar NTLM-autentisering om det är möjligt. Följande åtgärder visas i ordningen från säkrare till mindre säkra:

• Inaktivera NTLM-autentisering på Windows domänkontrollant. Du kan åstadkomma detta genom att följa dokumentationen i nätverkssäkerhet: Begränsa NTLM: NTLM-autentisering i den här domänen.

• Inaktivera NTLM på alla AD CS-servrar i domänen med grupprincipen Nätverkssäkerhet: Begränsa NTLM: Inkommande NTLM-trafik. Om du vill konfigurera det här GPO:t öppnar du Grupprincip och går till Datorkonfiguration ->Windows Inställningar ->-säkerhet Inställningar -> Lokala principer – >-säkerhetsalternativ och anger nätverkssäkerhet: Begränsa NTLM: Inkommande NTLM-trafik till Neka alla konton eller Neka alla domänkonton.   Om det behövs kan du lägga till undantag efter behov med hjälp av inställningen Nätverkssäkerhet: Begränsa NTLM: Lägg till serverundantag i den här domänen.

• Inaktivera NTLM för Internet Information Services (IIS) på AD CS-servrar i din domän som kör webbtjänsterna "Certifikatutfärdare för webbregistrering" eller "Webbtjänst för certifikatregistrering".

Om du vill göra det öppnar du IIS Manager-gränssnittet genom Windows autentisering till Att förhandla:Kerberos: 

Mer information finns i Microsoft Security Advisory ADV210003