Souhrn
Existuje chyba zabezpečení v určitých chipset Trusted Platform Module (TPM). Chyba zabezpečení oslabí sílu klíče.
Další informace o této chybě, přejděte na ADV170012.
Další informace
Přehled
V následujících částech vám pomohou určit, zmírnění a odstranění služby Active Directory Certificate Services (AD CS)-vydané certifikáty a žádosti, které byly postiženy chybou zabezpečení popsanou v Microsoft Security Advisory ADV170012 .
Ke zmírnění procesu se zaměřuje na identifikaci vystavených certifikátů, které jsou touto chybou ohroženy a také se zaměřuje na jejich odvolání.
Jsou certifikáty x.509, které byly vydány v rozlehlé síti založené na šabloně, který určuje KSP čipu TPM?
Pokud vaše organizace používá čip TPM KSP, je pravděpodobné, že jsou náchylné na chyby uvedené v informační zpravodaj zabezpečení scénáře, ve kterých jsou použity tyto certifikáty.
Ke zmírnění
-
Dokud je k dispozici pro zařízení odpovídající firmware aktualizace, aktualizujte certifikát šablony, které jsou nastaveny na používání TPM KSP použít KSP se softwarově. Tím zabráníte vytváření jakékoli budoucí certifikáty, které používají TPM KSP a jsou proto touto chybou zabezpečení. Další informace naleznete dále v tomto článku aktualizace firmwaru .
-
Pro již vytvořené certifikáty nebo požadavky:
-
Pomocí skriptu uzavřených seznam vystavených certifikátů, které mohou být ohroženy.
-
Tyto certifikáty odvolat předáním seznamu sériových čísel, které jste získali v předchozím kroku.
-
Vynuťte zápisu nové certifikáty na základě konfigurace šablony, určující nyní software zprostředkovatele KSP.
-
Znovu spusťte všechny scénáře pomocí nových certifikátů, kdykoli je to možné.
-
-
Chcete-li vypsat všechny požadované certifikáty, které by mohl být ohrožen použijte uzavřené skript:
-
Všechny tyto žádosti zamítne.
-
-
Použijte vložený skript Chcete-li zobrazit všechny certifikáty, jejichž platnost vypršela. Ujistěte se, že tyto nejsou zašifrované certifikáty, které se stále používají k dešifrování dat. Jsou zašifrovány Prošlé certifikáty?
-
Pokud ano, přesvědčte se, zda jsou data dešifrovat a poté zašifrováno pomocí nového klíče, která je založená na certifikátu, který je vytvořen pomocí softwaru zprostředkovatele KSP.
-
Pokud ne, můžete bez obav ignorovat certifikátů.
-
-
Ujistěte se, že je proces, který zakazuje se náhodně odvolání správce těchto odvolaných certifikátů.
-
Ujistěte se, že nové certifikáty KDC splňují aktuální doporučené postupy
Rizika: Mnoho jiných serverů splňují kritéria ověření řadičem domény a ověření řadičem domény. To může zavést způsoby útoku známé neautorizovaných serverů KDC.
Náprava škod
Všechny řadiče domény měly být vydávány certifikáty, které mají služba KDC EKU, jako [RFC 4556] bodu 3.2.4. Pro službu AD CS použít šablonu pro ověřování pomocí protokolu Kerberos a nakonfigurujete ho k nahrazení všech KDC certifikátů, které byly vydány.
Další informace [RFC 4556] Dodatek C popisuje historii různých šablon certifikátu KDC v systému Windows.
Pokud všechny řadiče domény mít specifikaci RFC KDC certifikáty, systém Windows můžete zabezpečit sám Povolení přísného KDC ověřování v systému Windows pomocí protokolu Kerberos.
Poznámka: Ve výchozím nastavení bude nutné novější protokol Kerberos veřejné klíče funkce.
Ujistěte se, že odvolaných certifikátů nezdaří příslušné scénáře
AD CS se používá pro různé scénáře v organizaci. Může být použit pro Wi-Fi, VPN, KDC, System Center Správce konfigurace a tak dále.
Určete všechny scénáře ve vaší organizaci. Přesvědčte se, zda tyto scénáře se nezdaří, pokud mají odvolané certifikáty nebo že jste nahradili odvolané certifikáty platné software na základě certifikátů a úspěšní scénáře.
Pokud používáte protokol OCSP nebo seznamy CRL, tyto aktualizace ihned po vypršení jejich platnosti. Však obvykle chcete aktualizovat seznamy CRL v mezipaměti ve všech počítačích. Pokud v protokolu OCSP závisí na seznamy odvolaných certifikátů, ujistěte se, že získá nejnovější CRL okamžitě.
Abyste měli jistotu, že mezipaměti budou odstraněny, spusťte následující příkazy ve všech ohrožených počítačích:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
Aktualizace firmwaru
Aktualizace vydané výrobcem OEM, chcete-li opravit chybu v čipu TPM. Po aktualizaci systému můžete aktualizovat šablony certifikátů pro použití založené na čipu TPM KSP.