KB5005413：缓解 Active Directory 证书服务上的 NTLM 中继攻击 (AD CS)

主要缓解措施

建议在 AD CS 服务器上启用 EPA 并禁用 HTTP。 打开 Internet Information Services (IIS) 管理器并执行以下操作：

1. 为证书颁发机构 Web 注册启用 EPA， 需要 是更安全的推荐选项：

   

2. 为证书注册 Web 服务启用 EPA， 需要 是更安全且推荐的选项：
   
   
   
   在 UI 中启用 EPA 后，CES 角色在 <%windir%>\systemdata\CES\<CA 名称>_CES_Kerberos\web.config创建的Web.config 文件也应通过添加 <extendedProtectionPolicy> 设置为 WhenSupported 或 Always，具体取决于上述 IIS UI 中选择 的扩展保护 选项。

   注意: 当 UI 设置为“必需”时，将使用“始终”设置，这是建议且最安全的选项。

   有关 extendedProtectionPolicy 可用选项的详细信息，请参阅 <basicHttpBinding><传输>。 最常用的设置如下：

   <binding name="TransportWithHeaderClientAuth">
        <security mode="Transport">
            <transport clientCredentialType="Windows">
            <extendedProtectionPolicy policyEnforcement="Always" />
            </transport>
            <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
        </security>
        <readerQuotas maxStringContentLength="131072" />
   </binding>
   

3. 启用 “需要 SSL”，这将仅启用 HTTPS 连接。
   
   

其他缓解措施

除了主要缓解措施之外，建议尽可能禁用 NTLM 身份验证。 以下缓解措施按从更安全到不太安全的顺序列出：

• 在 Windows 域控制器上禁用 NTLM 身份验证。 这可以通过按照 网络安全：在此域中限制 NTLM： NTLM 身份验证中的文档来完成。

• 使用组策略在域中的任何 AD CS 服务器上禁用 NTLM 网络安全：限制 NTLM：传入 NTLM 流量。 若要配置此 GPO，请打开组策略，转到“计算机配置”->“Windows 设置”-“>安全设置”-“>本地策略”->“安全选项”，并设置“网络安全：将 NTLM：传入 NTLM 流量限制为拒绝所有帐户”或“拒绝所有域帐户”。  如果需要，可以使用设置 “网络安全：限制 NTLM：在此域中添加服务器例外”来添加例外。

• 在运行“证书颁发机构 Web 注册”或“证书注册 Web 服务”服务的域中的 AD CS 服务器上， (IIS) 禁用 NTLM。

为此，请打开 IIS 管理器 UI，将 Windows 身份验证 设置为 Negotiate：Kerberos： 

有关详细信息，请参阅 Microsoft 安全咨询 ADV210003