خطه التخفيف الخاصة بمجالات active Directory لمشكله عدم الحصانة في TPM

ينطبق على: Windows Server 2016 DatacenterWindows Server 2016 EssentialsWindows Server 2016 Standard

الملخص


توجد ثغره أمنيه في مجموعه شرائح معينه من الوحدة النمطية للنظام الأساسي الموثوق به (TPM). تضعف مشكله عدم الحصانة قوه المفتاح. لمزيد من المعلومات حول مشكله عدم الحصانة ، انتقل إلى ADV170012.

مزيد من المعلومات


نظره عامه

ستساعدك المقاطع التالية في تحديد ومعالجه المشاكل في مجالات active Directory (AD) ووحدات التحكم بالمجال التي تتاثر بمشكله عدم الحصانة الموضحة في ADV170012 الاستشارية الأمان ل Microsoft.

تركز عمليه التخفيف هذه علي سيناريو المفتاح العمومي "Active Directory" التالية:

  • مفاتيح بيانات اعتماد الكمبيوتر المتصلة بالمجال

للحصول علي معلومات حول إلغاء شهادات KDC الجديدة وإصدارها ، راجع خطه التخفيف لسيناريوهات المستندة إلى خدمات شهادة Active Directory.

تحديد سير عمل مخاطره مفتاح بيانات اعتماد الكمبيوتر المنضمة إلى المجال

تحديد المخاطر الرئيسية بيانات اعتماد الكمبيوتر متصل بمجال سير العمل

هل لديك وحدات تحكم مجال Windows Server 2016 (أو الأحدث) ؟

تم تقديم مفاتيح بيانات الاعتماد لوحدات تحكم مجال Windows Server 2016. أضافه وحدات تحكم المجال SID KEY_TRUST_IDENTITY (S-1-18-4) المعروفة عند استخدام مفتاح بيانات اعتماد للمصادقة. لم تعتمد وحدات التحكم بالمجال السابقة مفاتيح بيانات الاعتماد ، التالي لا يعتمد AD كائنات مفتاح بيانات الاعتماد ، ولا يمكن لوحدات تحكم المجال المستوي الأسفل مصادقه الأساسيات باستخدام مفاتيح بيانات الاعتماد.

سابقا ، قد يتم استخدام السمة Altسيكوريسياتريسيسم (كثيرا ما يشار اليها باسم altsecurityidentities) لتوفير سلوك مماثل. التوفير Altssecid غير معتمد أصلا بواسطة Windows. لذلك ، ستحتاج إلى حل جهة خارجيه يوفر هذا السلوك. إذا كان المفتاح الذي تم توفيره عرضه ، يجب ان يتم تحديث altSsecID المطابق في AD.

هل هناك مجالات Windows Server 2016 (أو أحدث) DFL ؟

تدعم وحدات التحكم بالمجال 2016 ملقم Windows تشفير المفتاح العمومي للمصادقة الاوليه في Kerberos (PKINIT) ملحق النضارة [RFC 8070] ، علي الرغم من انه ليس افتراضيا. عند تمكينالدعم لتمديد النضارة PKInit علي وحدات التحكم بالمجال في Windows Server 2016 dfl أو المجالات الأحدث ، وحدات تحكم المجال أضافه SID FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) المعروفة عندما يكون الملحق بنجاح استخدام. لمزيد من المعلومات ، راجع العميل Kerberos ودعم KDC ل RFC 8070 PKInit تمديد النضارة.

تصحيح أجهزه الكمبيوتر

سيؤدي معالجه أجهزه كمبيوتر Windows 10 التي تحتوي علي تحديثات الأمان 2017 تشرين الأول/أكتوبر إلى أزاله مفتاح بيانات اعتماد TPM الموجود. سيقوم Windows بتوفير المفاتيح المحمية ببيانات الاعتماد فقط لضمان الحماية من تمرير التذكرة لمفاتيح الاجهزه المتصلة بالمجال. لان العديد من العملاء أضافه "الحماية الاعتماد" بشكل جيد بعد المجال-الانضمام إلى أجهزه الكمبيوتر الخاصة بهم ، يضمن هذا التغيير ان الاجهزه التي لديها تمكين "الحماية الاعتماد" يمكن التاكد من ان اي TGTs إصدار باستخدام مفتاح بيانات الاعتماد محمية بواسطة "الحرس البيانات".