Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Shrnutí

V některých čipsadách TPM (Trusted Platform Module) existuje chyba zabezpečení. Tato chyba zabezpečení oslabuje sílu klíče. Další informace o této chybě zabezpečení naleznete na ADV170012.

Další informace

Přehled

Následující části vám pomohou identifikovat a napravit problémy v doménách služby Active Directory (AD) a řadičích domény, které jsou ohroženy chybou zabezpečení popsanou v ADV170012 Microsoft Security Advisory.

Tento proces potlačení je zaměřen na následující scénář veřejného klíče služby Active Directory:

  • Klíče pověření počítače připojené k doméně

Informace o odvolání a vydávání nových certifikátů služby KDC naleznete v tématu plán omezení pro scénáře založené na službě Active Directory Certificate Services.

Určení pracovního postupu pro klíč pověření počítače, který je připojen k doméně

Určení počítače doméně pověření klíče rizika pracovního postupu

Máte řadiče domény Windows Server 2016 (nebo novější)?

Byly zavedeny klíče pověření pro řadiče domény se systémem Windows Server 2016. Řadiče domény přidávají známá čísla SID KEY_TRUST_IDENTITY (S-1-18-4), pokud je k ověřování použit klíč pověření. Dřívější řadiče domény nepodporovaly klíče pověření, takže služby AD nepodporují objekty klíče pověření a řadiče domény nižší úrovně nemohou ověřovat zaregistrované objekty pomocí klíčů pověření.

Dříve bylo možné použít k poskytnutí podobného chování atribut altSecurityIdentity (často odkazován jako altsecid). Zřizování Altssecid není v systému Windows nativně podporováno. Proto byste potřebovali řešení od jiného výrobce, které toto chování poskytuje. Pokud je klíč, který je zajištěn, ohrožen, musí být odpovídající identifikátor altSsecID aktualizován v rámci služby AD.

Jsou všechny domény systému Windows Server 2016 (nebo vyšší) DFL?

Řadiče domény se systémem Windows Server 2016 podporují kryptografii s veřejným klíčem pro počáteční ověření v protokolu Kerberos (PKINIT) rozšíření čerstvosti [RFC 8070], ale nikoli ve výchozím nastavení. Je-li v řadičích domény v rámci domény DFL nebo novějších domén systému Windows Server 2016podporována podpora rozšíření čerstvosti PKInit , budou řadiče domény po úspěšném rozšíření přidávat známé SID FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3). Používá. Další informace naleznete v části Podpora klienta Kerberos a služby KDC pro rozšíření RFC 8070 PKInit Extension.

Oprava počítačů

Údržba počítačů se systémem Windows 10, které mají aktualizace zabezpečení z října 2017, odstraní stávající klíč pověření čipu TPM. Systém Windows zajistí ochranu klíčů chráněných pověření, aby byla zajištěna ochrana heslem pro klíče zařízení, která jsou připojena k doméně. Vzhledem k tomu, že mnoho zákazníků přidává ochranu pověření dobře po připojení domény k jejich počítačům, tato změna zajistí, že zařízení s povolenou ochranou pověření mohou zajistit, že všechny TGT vystavené pomocí klíče pověření jsou chráněny ochranou pověření.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×