Shrnutí
V některých čipsadách TPM (Trusted Platform Module) existuje chyba zabezpečení. Tato chyba zabezpečení oslabuje sílu klíče. Další informace o této chybě zabezpečení naleznete na ADV170012.
Další informace
Přehled
Následující části vám pomohou identifikovat a napravit problémy v doménách služby Active Directory (AD) a řadičích domény, které jsou ohroženy chybou zabezpečení popsanou v ADV170012 Microsoft Security Advisory.
Tento proces potlačení je zaměřen na následující scénář veřejného klíče služby Active Directory:
-
Klíče pověření počítače připojené k doméně
Informace o odvolání a vydávání nových certifikátů služby KDC naleznete v tématu plán omezení pro scénáře založené na službě Active Directory Certificate Services.
Určení pracovního postupu pro klíč pověření počítače, který je připojen k doméně
Máte řadiče domény Windows Server 2016 (nebo novější)?
Byly zavedeny klíče pověření pro řadiče domény se systémem Windows Server 2016. Řadiče domény přidávají známá čísla SID KEY_TRUST_IDENTITY (S-1-18-4), pokud je k ověřování použit klíč pověření. Dřívější řadiče domény nepodporovaly klíče pověření, takže služby AD nepodporují objekty klíče pověření a řadiče domény nižší úrovně nemohou ověřovat zaregistrované objekty pomocí klíčů pověření.
Dříve bylo možné použít k poskytnutí podobného chování atribut altSecurityIdentity (často odkazován jako altsecid). Zřizování Altssecid není v systému Windows nativně podporováno. Proto byste potřebovali řešení od jiného výrobce, které toto chování poskytuje. Pokud je klíč, který je zajištěn, ohrožen, musí být odpovídající identifikátor altSsecID aktualizován v rámci služby AD.
Jsou všechny domény systému Windows Server 2016 (nebo vyšší) DFL?
Řadiče domény se systémem Windows Server 2016 podporují kryptografii s veřejným klíčem pro počáteční ověření v protokolu Kerberos (PKINIT) rozšíření čerstvosti [RFC 8070], ale nikoli ve výchozím nastavení. Je-li v řadičích domény v rámci domény DFL nebo novějších domén systému Windows Server 2016podporována podpora rozšíření čerstvosti PKInit , budou řadiče domény po úspěšném rozšíření přidávat známé SID FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3). Používá. Další informace naleznete v části Podpora klienta Kerberos a služby KDC pro rozšíření RFC 8070 PKInit Extension.
Oprava počítačů
Údržba počítačů se systémem Windows 10, které mají aktualizace zabezpečení z října 2017, odstraní stávající klíč pověření čipu TPM. Systém Windows zajistí ochranu klíčů chráněných pověření, aby byla zajištěna ochrana heslem pro klíče zařízení, která jsou připojena k doméně. Vzhledem k tomu, že mnoho zákazníků přidává ochranu pověření dobře po připojení domény k jejich počítačům, tato změna zajistí, že zařízení s povolenou ochranou pověření mohou zajistit, že všechny TGT vystavené pomocí klíče pověření jsou chráněny ochranou pověření.