تخطي إلى المحتوى الرئيسي
الدعم
تسجيل الدخول
تسجيل الدخول باستخدام حساب Microsoft
تسجيل الدخول أو إنشاء حساب.
مرحباً،
تحديد استخدام حساب مختلف!
لديك حسابات متعددة
اختر الحساب الذي تريد تسجيل الدخول باستخدامه.

الملخص

توجد ثغره أمنيه في مجموعه شرائح معينه من الوحدة النمطية للنظام الأساسي الموثوق به (TPM). تضعف مشكله عدم الحصانة قوه المفتاح. لمزيد من المعلومات حول مشكله عدم الحصانة ، انتقل إلى ADV170012.

مزيد من المعلومات

نظره عامه

ستساعدك المقاطع التالية في تحديد ومعالجه المشاكل في مجالات active Directory (AD) ووحدات التحكم بالمجال التي تتاثر بمشكله عدم الحصانة الموضحة في ADV170012 الاستشارية الأمان ل Microsoft.

تركز عمليه التخفيف هذه علي سيناريو المفتاح العمومي "Active Directory" التالية:

  • مفاتيح بيانات اعتماد الكمبيوتر المتصلة بالمجال

للحصول علي معلومات حول إلغاء شهادات KDC الجديدة وإصدارها ، راجع خطه التخفيف لسيناريوهات المستندة إلى خدمات شهادة Active Directory.

تحديد سير عمل مخاطره مفتاح بيانات اعتماد الكمبيوتر المنضمة إلى المجال

تحديد المخاطر الرئيسية بيانات اعتماد الكمبيوتر متصل بمجال سير العمل

هل لديك وحدات تحكم مجال Windows Server 2016 (أو الأحدث) ؟

تم تقديم مفاتيح بيانات الاعتماد لوحدات تحكم مجال Windows Server 2016. أضافه وحدات تحكم المجال SID KEY_TRUST_IDENTITY (S-1-18-4) المعروفة عند استخدام مفتاح بيانات اعتماد للمصادقة. لم تعتمد وحدات التحكم بالمجال السابقة مفاتيح بيانات الاعتماد ، التالي لا يعتمد AD كائنات مفتاح بيانات الاعتماد ، ولا يمكن لوحدات تحكم المجال المستوي الأسفل مصادقه الأساسيات باستخدام مفاتيح بيانات الاعتماد.

سابقا ، قد يتم استخدام السمة Altسيكوريسياتريسيسم (كثيرا ما يشار اليها باسم altsecurityidentities) لتوفير سلوك مماثل. التوفير Altssecid غير معتمد أصلا بواسطة Windows. لذلك ، ستحتاج إلى حل جهة خارجيه يوفر هذا السلوك. إذا كان المفتاح الذي تم توفيره عرضه ، يجب ان يتم تحديث altSsecID المطابق في AD.

هل هناك مجالات Windows Server 2016 (أو أحدث) DFL ؟

تدعم وحدات التحكم بالمجال 2016 ملقم Windows تشفير المفتاح العمومي للمصادقة الاوليه في Kerberos (PKINIT) ملحق النضارة [RFC 8070] ، علي الرغم من انه ليس افتراضيا. عند تمكينالدعم لتمديد النضارة PKInit علي وحدات التحكم بالمجال في Windows Server 2016 dfl أو المجالات الأحدث ، وحدات تحكم المجال أضافه SID FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) المعروفة عندما يكون الملحق بنجاح استخدام. لمزيد من المعلومات ، راجع العميل Kerberos ودعم KDC ل RFC 8070 PKInit تمديد النضارة.

تصحيح أجهزه الكمبيوتر

سيؤدي معالجه أجهزه كمبيوتر Windows 10 التي تحتوي علي تحديثات الأمان 2017 تشرين الأول/أكتوبر إلى أزاله مفتاح بيانات اعتماد TPM الموجود. سيقوم Windows بتوفير المفاتيح المحمية ببيانات الاعتماد فقط لضمان الحماية من تمرير التذكرة لمفاتيح الاجهزه المتصلة بالمجال. لان العديد من العملاء أضافه "الحماية الاعتماد" بشكل جيد بعد المجال-الانضمام إلى أجهزه الكمبيوتر الخاصة بهم ، يضمن هذا التغيير ان الاجهزه التي لديها تمكين "الحماية الاعتماد" يمكن التاكد من ان اي TGTs إصدار باستخدام مفتاح بيانات الاعتماد محمية بواسطة "الحرس البيانات".

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

اكتشاف المجتمع

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.

طرح أسئلة في Microsoft Community

مجتمع Microsoft التقني

مشتركو Windows Insider

المشاركون في برنامج Microsoft 365 Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة اللغة؟
ما الذي أثّر في تجربتك؟
بالضغط على "إرسال"، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. سيتمكن مسؤول تكنولوجيا المعلومات لديك من جمع هذه البيانات. بيان الخصوصية.

نشكرك على ملاحظاتك!

×