ملخص
توجد ثغرة أمنية في بعض شرائح "الوحدة النمطية" النظام الأساسي الموثوق به (TPM). مشكلة عدم الحصانة تضعف قوة المفتاح.
لمزيد من المعلومات حول مشكلة عدم الحصانة هذه، انتقل إلى ADV170012.
مزيد من المعلومات
نظرة عامة
المقاطع التالية سوف تساعدك على تحديد وتقليل وتصحيح "خدمات الشهادات Active Directory" (AD CS)-إصدار الشهادات والطلبات التي تأثرت بمشكلة عدم الحصانة التي تم تعريفها في ADV170012 النصائح الإرشادية للأمان ل Microsoft .
ويركز على تحديد إصدار الشهادات التي تتأثر بمشكلة عدم الحصانة عملية التخفيف، ويركز أيضا على إبطال هذه.
تقوم شهادات x.509 التي تصدر داخل المؤسسة الخاصة بك استناداً إلى القوالب التي تحدد العميق TPM؟
إذا كانت المؤسسة الخاصة بك تستخدم TPM العميق، فمن المحتمل أن السيناريوهات التي يتم استخدام هذه الشهادات هي معرضة للضعف المحددة في النصائح الإرشادية للأمان.
التخفيف
-
حتى يتوفر تحديث البرامج ثابتة للجهاز الخاص بك، قم بتحديث "قوالب الشهادات" التي تم تعيينها لاستخدام TPM العميق لاستخدام العميق القائم على البرامج. وهذا يمنع إنشاء أية شهادات المستقبلية التي تستخدم TPM العميق وهي، لذلك، عرضه. لمزيد من المعلومات، راجع تحديث البرامج الثابتة لاحقاً في هذه المقالة.
-
لإنشاء شهادات أو الفعل الطلبات:
-
استخدام برنامج نصي مضمن لسرد جميع الشهادات الصادرة التي يمكن أن تكون عرضه.
-
إبطال هذه الشهادات بتمرير القائمة الأرقام المتسلسلة التي حصلت عليه في الخطوة السابقة.
-
فرض تسجيل شهادات جديدة استناداً إلى تكوين القالب الآن تحدد البرامج العميق.
-
أعد تشغيل كافة وحدات السيناريو باستخدام شهادات جديدة حيثما يمكن.
-
-
استخدام برنامج نصي مضمن لسرد كافة الشهادات المطلوبة التي يمكن أن تكون عرضه:
-
رفض طلبات الشهادات هذه.
-
-
استخدام برنامج نصي مضمن لسرد جميع الشهادات المنتهية. تأكد من أن هذه ليست الشهادات التي تزال تستخدم لفك تشفير البيانات المشفرة. يتم تشفير الشهادات منتهية الصلاحية؟
-
إذا كان الأمر كذلك، تأكد من إلغاء تشفير البيانات وثم مشفرة باستخدام مفتاح جديد استناداً إلى شهادة تم إنشاؤه باستخدام برنامج العميق.
-
إذا لا، يمكنك تجاهل الشهادات.
-
-
تأكد من وجود عملية تمنع هذه الشهادات التي تم إبطالها من دون قصد يتم إلغاء إبطال مدير البرنامج.
-
تأكد من أن شهادات KDC جديدة تتوافق مع أفضل الممارسات الراهنة
الخطر: العديد من الملقمات الأخرى قد يحقق معايير التحقق من وحدة تحكم المجال ومصادقة وحدة تحكم المجال. ويمكن أن يؤدي موجهات الهجوم KDC المارقة المعروفة جيدا.
التحديث
ينبغي إصدار الشهادات التي تمتلك EKU KDC، كقسم محدد في [RFC 4556] 3.2.4 كافة وحدات تحكم المجال. لخدمات العملاء الإعلان، استخدم قالب مصادقة Kerberos، وتكوينه لتحل محل أي شهادات KDC أخرى صدرت.
لمزيد من المعلومات، "التذييل جيم" [RFC 4556] توضح تاريخ القوالب شهادة KDC المختلفة في Windows.
عندما تكون كافة "وحدات تحكم المجال" شهادات KDC المتوافقة مع RFC، Windows يمكن أن تحمي نفسها تمكين التحقق من شركة الحفر الكويتية صارمة في Windows Kerberos.
ملاحظة: بشكل افتراضي، سيتم أحدث Kerberos العامة الميزات الأساسية المطلوبة.
تأكد من أن الشهادات التي تم إبطالها فشل السيناريو الخاص
يتم استخدام CS الإعلان لسيناريوهات مختلفة في مؤسسة. قد يتم استخدام لشبكة Wi-fi VPN، شركة الحفر الكويتية، مدير تكوين مركز النظام وهكذا.
تحديد كافة السيناريوهات في المؤسسة الخاصة بك. تأكد من أن هذه السيناريوهات ستفشل إذا كان لديهم الشهادات التي تم إبطالها، أو أن حلت محل كافة الشهادات التي تم إبطالها ببرامج صالحة على أساس شهادات وتلك الحالات الناجحة.
إذا كنت تستخدم CRLS أو OCSP، سيتم تحديث هذه بمجرد أن تنتهي. ومع ذلك، عادة ما تحتاج إلى تحديث CRLs المخزنة مؤقتاً على كافة أجهزة الكمبيوتر. إذا كان لديك OCSP يعتمد على CRLs، تأكد من الحصول على CRLs أحدث مباشرة.
للتأكد من أن يتم حذف المخابئ، تشغيل الأوامر التالية على كافة أجهزة الكمبيوتر المتأثرة:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
تحديث البرامج الثابتة
قم بتثبيت التحديث الذي تم إصداره من قبل OEM لحل مشكلة عدم الحصانة في TPM. بعد تحديث النظام، يمكنك تحديث قوالب الشهادات لاستخدام العميق المستندة إلى TPM.
