Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Резюме

Съществува уязвимост в някои модул за надеждна платформа (TPM) платка. Уязвимост отслабва ключ съдържание.

За да научите повече за тази уязвимост, преминете към ADV170012.

Допълнителна информация

Общ преглед

Разделите по-долу ще ви помогне да идентифицирате намаляване и отстраняване на сертификат услуги на Active Directory (AD CS)-сертификати и заявки, които са засегнати от уязвимост в Microsoft Security консултативен ADV170012 .

Процесът на събития се фокусира върху идентифициране на сертификати, които са засегнати от уязвимостта и също се фокусира върху тях отмяна.

Са x.509 сертификати, които са издадени в рамките на вашето предприятие въз основа на шаблон, който указва TPM KSP?

Ако вашето предприятие използва TPM KSP, е вероятно, че сценарии, при които се използват тези сертификати са податлив на уязвимостта в това съобщение.


Намаляване

  1. Докато подходящ firmware актуализация е налична за вашето устройство, актуализирайте сертификат шаблони, които са настроени да използват TPM KSP да използва софтуерна KSP. Това ще попречи на създаването на всички бъдещи сертификати, които използват TPM KSP и са следователно уязвими. За повече информация вижте актуализиране на фърмуера по-долу в тази статия.

  2. За вече създадени сертификати или искания:

    1. Използвайте скрипта затворени списък на всички издадени сертификати, които могат да бъдат уязвими.

      1. Анулиране на сертификати като подадете списък със серийни номера, който сте получили в предишната стъпка.

      2. Прилагане на записване на новите сертификати, базирани на шаблона конфигурация, която вече определя софтуер KSP.

      3. Чрез новите сертификати, където можете да стартирате отново всички сценарии.

    2. Използвайте скрипта затворени в списъка на искания сертификати, които могат да бъдат уязвими:

      1. Отхвърлят всички заявки за сертификати.

    3. Използвайте скрипта затворени списък всички сертификати с изтекъл срок. Уверете се, че те не са шифровани сертификати, които все още се използват за декодиране на данни. Са шифровани изтекъл сертификат?

      1. Ако да, уверете се, че данните се дешифрира и след шифрована с нов ключ, който зависи от сертификат, който е създаден с помощта на софтуер KSP.

      2. Ако не, можете да игнорирате спокойно сертификати.

    4. Уверете се, че има процес, който забранява тези анулиран сертификат е случайно unrevoked от администратора.


Уверете се, че новите KDC сертификати отговарят на текущата най-добри практики

Риск: Много други сървъри може да отговарят на домейнов контролер и удостоверяване на домейн контролера критерии. Това може да предизвика известни фалшиви KDC атака носители.


Коригиране

Всички домейн контролери се издава сертификати KDC ТЕОДОР, определен в [RFC 4556] точка 3.2.4. За AD CS Използвайте шаблона Kerberos удостоверяване и я конфигурирате да заменят други KDC сертификати, които са били издадени.

За повече информация [RFC 4556] приложение В обяснява историята на различните KDC сертификат шаблони в Windows.

Когато всички домейн контролери са съвместими с RFC KDC сертификати, Windows може да защити, като Позволяващи стриктно KDC проверка в Windows Kerberos.

Забележка: По подразбиране се изисква по-новите Kerberos публичен ключ черта.


Уверете се, че анулиран сертификат не съответните сценарий

AD CS се използва за различни сценарии в организацията. Това може да се използва за интернет, VPN, KDC, System Center Configuration Manager и т.н.

Проверете всички сценарии във вашата организация. Уверете се, че Дани е неуспешно, ако те са анулиран сертификат или че сте заменили всички прекратени сертификати валидна софтуер въз основа на сертификати и сценариите са успешни.

Ако използвате OCSP или CRLS, те ще се актуализира веднага след изтичане на срока им. Но обикновено искате да актуализирате кеширани CRLs на всички компютри. Ако вашата OCSP разчита на CRLs, уверете се, че получава Последната CRLs веднага.

За да проверите дали са изтрити кеш, изпълнете следните команди на всички засегнати компютри:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Актуализация на фърмуера

Инсталирайте актуализацията, която е издадена от ОЕМ да определи уязвимостта в TPM. след като системата се актуализира, можете да актуализирате сертификата шаблони, за да използвате TPM базирани KSP.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×