KB5005413：減輕 ACTIVE Directory 憑證服務 (AD CS) 的 NTLM 轉送攻擊

主要緩和功能

建議您在 AD CS 伺服器上啟用與停用 HTTP。 開啟 INTERNET Information Services (IIS) Manager，然後執行下列動作：

1. 啟用適用于憑證授權單位單位 WEB 註冊的而且需要更安全且建議的選項：

   

2. 啟用適用于憑證註冊 Web 服務的[對應服務]，這是更安全且建議的選項：
   
   
   
   在 UI 中啟用了}UI 後，CES 角色在<%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config建立的Web.config檔案也應透過新增<extendedProtectionPolicy>設定為 [WhenSupported] 或 [永遠] 的值來更新，視上述 IIS UI 中選取的延伸保護選項而定。

   附註: [ 一律 ] 設定會在 UI 設定為 [ 必要] 時使用，這是建議且最安全的選項。

   如需 ExtendedProtectionPolicy可用選項的詳細資訊，請參 閱<基本功能的<傳輸> HTTPBinding>。 最可能使用的設定如下：

   <binding name="TransportWithHeaderClientAuth">
        <security mode="Transport">
            <transport clientCredentialType="Windows">
            <extendedProtectionPolicy policyEnforcement="Always" />
            </transport>
            <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
        </security>
        <readerQuotas maxStringContentLength="131072" />
   </binding>
   

3. 啟用 [需要 SSL]，它只能啟用 HTTPS 連線。
   
   

其他防震功能

除了主要安全性安全性，我們建議您盡可能停用 NTLM 驗證。 下列安全性安全功能會依序列出，從更安全到較不安全：

• 在您的 Windows 網域控制站上停用 NTLM 驗證。 您可以遵循 網路安全性：限制 NTLM：此網域中的 NTLM 驗證中的檔來完成這項作業。

• 使用群組原則網路安全性停用網域中任何 AD CS Server 上的NTLM：限制 NTLM：連入 NTLM 流量。 若要設定此 GPO，請開啟 群組原則，然後移至[電腦設定] -> [Windows 設定] -> [安全性設定] -> [本機原則] -> [安全性選項]，並設定網路安全性：限制 NTLM：將 NTLM 傳入流量設為[拒絕所有帳戶]或[拒絕所有網域帳戶]。  如有需要，您可以視需要使用設定 網路安全性：限制 NTLM：在此網域中新增伺服器例外狀況。

• 在執行「憑證授權單位單位 Web 註冊」或「憑證註冊 Web 服務」服務的網域中，于 AD CS Servers 上停用網際網路資訊服務的 NTLM (IIS) 。

若要開啟 IIS 管理員 UI，請將Windows 驗證設定為交涉：Kerberos： 

如需詳細資訊，請參閱 Microsoft 資訊安全諮詢 ADV210003