Domény služby Active Directory, plán omezení chyb v čipu TPM

Shrnutí

V některých čipsadách TPM (Trusted Platform Module) existuje chyba zabezpečení. Tato chyba zabezpečení oslabuje sílu klíče. Další informace o této chybě zabezpečení naleznete na ADV170012.

Další informace

Přehled

Následující části vám pomohou identifikovat a napravit problémy v doménách služby Active Directory (AD) a řadičích domény, které jsou ohroženy chybou zabezpečení popsanou v ADV170012 Microsoft Security Advisory.

Tento proces potlačení je zaměřen na následující scénář veřejného klíče služby Active Directory:

  • Klíče pověření počítače připojené k doméně

Informace o odvolání a vydávání nových certifikátů služby KDC naleznete v tématu plán omezení pro scénáře založené na službě Active Directory Certificate Services.

Určení pracovního postupu pro klíč pověření počítače, který je připojen k doméně

Určení počítače doméně pověření klíče rizika pracovního postupu

Máte řadiče domény Windows Server 2016 (nebo novější)?

Byly zavedeny klíče pověření pro řadiče domény se systémem Windows Server 2016. Řadiče domény přidávají známá čísla SID KEY_TRUST_IDENTITY (S-1-18-4), pokud je k ověřování použit klíč pověření. Dřívější řadiče domény nepodporovaly klíče pověření, takže služby AD nepodporují objekty klíče pověření a řadiče domény nižší úrovně nemohou ověřovat zaregistrované objekty pomocí klíčů pověření.

Dříve bylo možné použít k poskytnutí podobného chování atribut altSecurityIdentity (často odkazován jako altsecid). Zřizování Altssecid není v systému Windows nativně podporováno. Proto byste potřebovali řešení od jiného výrobce, které toto chování poskytuje. Pokud je klíč, který je zajištěn, ohrožen, musí být odpovídající identifikátor altSsecID aktualizován v rámci služby AD.

Jsou všechny domény systému Windows Server 2016 (nebo vyšší) DFL?

Řadiče domény se systémem Windows Server 2016 podporují kryptografii s veřejným klíčem pro počáteční ověření v protokolu Kerberos (PKINIT) rozšíření čerstvosti [RFC 8070], ale nikoli ve výchozím nastavení. Je-li v řadičích domény v rámci domény DFL nebo novějších domén systému Windows Server 2016podporována podpora rozšíření čerstvosti PKInit , budou řadiče domény po úspěšném rozšíření přidávat známé SID FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3). Používá. Další informace naleznete v části Podpora klienta Kerberos a služby KDC pro rozšíření RFC 8070 PKInit Extension.

Oprava počítačů

Údržba počítačů se systémem Windows 10, které mají aktualizace zabezpečení z října 2017, odstraní stávající klíč pověření čipu TPM. Systém Windows zajistí ochranu klíčů chráněných pověření, aby byla zajištěna ochrana heslem pro klíče zařízení, která jsou připojena k doméně. Vzhledem k tomu, že mnoho zákazníků přidává ochranu pověření dobře po připojení domény k jejich počítačům, tato změna zajistí, že zařízení s povolenou ochranou pověření mohou zajistit, že všechny TGT vystavené pomocí klíče pověření jsou chráněny ochranou pověření.

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×