Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

ملخص

توجد ثغرة أمنية في بعض شرائح "الوحدة النمطية" النظام الأساسي الموثوق به (TPM). مشكلة عدم الحصانة تضعف قوة المفتاح.لمزيد من المعلومات حول مشكلة عدم الحصانة هذه، انتقل إلى ADV170012.

مزيد من المعلومات

نظرة عامة

المقاطع التالية سوف تساعدك على تحديد وتقليل وتصحيح "خدمات الشهادات Active Directory" (AD CS)-إصدار الشهادات والطلبات التي تأثرت بمشكلة عدم الحصانة التي تم تعريفها في ADV170012 النصائح الإرشادية للأمان ل Microsoft .

ويركز على تحديد إصدار الشهادات التي تتأثر بمشكلة عدم الحصانة عملية التخفيف، ويركز أيضا على إبطال هذه.

تقوم شهادات x.509 التي تصدر داخل المؤسسة الخاصة بك استناداً إلى القوالب التي تحدد العميق TPM؟

إذا كانت المؤسسة الخاصة بك تستخدم TPM العميق، فمن المحتمل أن السيناريوهات التي يتم استخدام هذه الشهادات هي معرضة للضعف المحددة في النصائح الإرشادية للأمان.

التخفيف

  1. حتى يتوفر تحديث البرامج ثابتة للجهاز الخاص بك، قم بتحديث "قوالب الشهادات" التي تم تعيينها لاستخدام TPM العميق لاستخدام العميق القائم على البرامج. وهذا يمنع إنشاء أية شهادات المستقبلية التي تستخدم TPM العميق وهي، لذلك، عرضه. لمزيد من المعلومات، راجع تحديث البرامج الثابتة لاحقاً في هذه المقالة.

  2. لإنشاء شهادات أو الفعل الطلبات:

    1. استخدام برنامج نصي مضمن لسرد جميع الشهادات الصادرة التي يمكن أن تكون عرضه.

      1. إبطال هذه الشهادات بتمرير القائمة الأرقام المتسلسلة التي حصلت عليه في الخطوة السابقة.

      2. فرض تسجيل شهادات جديدة استناداً إلى تكوين القالب الآن تحدد البرامج العميق.

      3. أعد تشغيل كافة وحدات السيناريو باستخدام شهادات جديدة حيثما يمكن.

    2. استخدام برنامج نصي مضمن لسرد كافة الشهادات المطلوبة التي يمكن أن تكون عرضه:

      1. رفض طلبات الشهادات هذه.

    3. استخدام برنامج نصي مضمن لسرد جميع الشهادات المنتهية. تأكد من أن هذه ليست الشهادات التي تزال تستخدم لفك تشفير البيانات المشفرة. يتم تشفير الشهادات منتهية الصلاحية؟

      1. إذا كان الأمر كذلك، تأكد من إلغاء تشفير البيانات وثم مشفرة باستخدام مفتاح جديد استناداً إلى شهادة تم إنشاؤه باستخدام برنامج العميق.

      2. إذا لا، يمكنك تجاهل الشهادات.

    4. تأكد من وجود عملية تمنع هذه الشهادات التي تم إبطالها من دون قصد يتم إلغاء إبطال مدير البرنامج.

تأكد من أن شهادات KDC جديدة تتوافق مع أفضل الممارسات الراهنة

الخطر: العديد من الملقمات الأخرى قد يحقق معايير التحقق من وحدة تحكم المجال ومصادقة وحدة تحكم المجال. ويمكن أن يؤدي موجهات الهجوم KDC المارقة المعروفة جيدا.

التحديث

ينبغي إصدار الشهادات التي تمتلك EKU KDC، كقسم محدد في [RFC 4556] 3.2.4 كافة وحدات تحكم المجال. لخدمات العملاء الإعلان، استخدم قالب مصادقة Kerberos، وتكوينه لتحل محل أي شهادات KDC أخرى صدرت.

لمزيد من المعلومات، "التذييل جيم" [RFC 4556] توضح تاريخ القوالب شهادة KDC المختلفة في Windows.

عندما تكون كافة "وحدات تحكم المجال" شهادات KDC المتوافقة مع RFC، Windows يمكن أن تحمي نفسها تمكين التحقق من شركة الحفر الكويتية صارمة في Windows Kerberos.

ملاحظة: بشكل افتراضي، سيتم أحدث Kerberos العامة الميزات الأساسية المطلوبة.

تأكد من أن الشهادات التي تم إبطالها فشل السيناريو الخاص

يتم استخدام CS الإعلان لسيناريوهات مختلفة في مؤسسة. قد يتم استخدام لشبكة Wi-fi VPN، شركة الحفر الكويتية، مدير تكوين مركز النظام وهكذا.

تحديد كافة السيناريوهات في المؤسسة الخاصة بك. تأكد من أن هذه السيناريوهات ستفشل إذا كان لديهم الشهادات التي تم إبطالها، أو أن حلت محل كافة الشهادات التي تم إبطالها ببرامج صالحة على أساس شهادات وتلك الحالات الناجحة.

إذا كنت تستخدم CRLS أو OCSP، سيتم تحديث هذه بمجرد أن تنتهي. ومع ذلك، عادة ما تحتاج إلى تحديث CRLs المخزنة مؤقتاً على كافة أجهزة الكمبيوتر. إذا كان لديك OCSP يعتمد على CRLs، تأكد من الحصول على CRLs أحدث مباشرة.

للتأكد من أن يتم حذف المخابئ، تشغيل الأوامر التالية على كافة أجهزة الكمبيوتر المتأثرة:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now

تحديث البرامج الثابتة

قم بتثبيت التحديث الذي تم إصداره من قبل OEM لحل مشكلة عدم الحصانة في TPM. بعد تحديث النظام، يمكنك تحديث قوالب الشهادات لاستخدام العميق المستندة إلى TPM.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة