Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Souhrn

Existuje chyba zabezpečení v určitých chipset Trusted Platform Module (TPM). Chyba zabezpečení oslabí sílu klíče.

Další informace o této chybě, přejděte na ADV170012.

Další informace

Přehled

V následujících částech vám pomohou určit, zmírnění a odstranění služby Active Directory Certificate Services (AD CS)-vydané certifikáty a žádosti, které byly postiženy chybou zabezpečení popsanou v Microsoft Security Advisory ADV170012 .

Ke zmírnění procesu se zaměřuje na identifikaci vystavených certifikátů, které jsou touto chybou ohroženy a také se zaměřuje na jejich odvolání.

Jsou certifikáty x.509, které byly vydány v rozlehlé síti založené na šabloně, který určuje KSP čipu TPM?

Pokud vaše organizace používá čip TPM KSP, je pravděpodobné, že jsou náchylné na chyby uvedené v informační zpravodaj zabezpečení scénáře, ve kterých jsou použity tyto certifikáty.


Ke zmírnění

  1. Dokud je k dispozici pro zařízení odpovídající firmware aktualizace, aktualizujte certifikát šablony, které jsou nastaveny na používání TPM KSP použít KSP se softwarově. Tím zabráníte vytváření jakékoli budoucí certifikáty, které používají TPM KSP a jsou proto touto chybou zabezpečení. Další informace naleznete dále v tomto článku aktualizace firmwaru .

  2. Pro již vytvořené certifikáty nebo požadavky:

    1. Pomocí skriptu uzavřených seznam vystavených certifikátů, které mohou být ohroženy.

      1. Tyto certifikáty odvolat předáním seznamu sériových čísel, které jste získali v předchozím kroku.

      2. Vynuťte zápisu nové certifikáty na základě konfigurace šablony, určující nyní software zprostředkovatele KSP.

      3. Znovu spusťte všechny scénáře pomocí nových certifikátů, kdykoli je to možné.

    2. Chcete-li vypsat všechny požadované certifikáty, které by mohl být ohrožen použijte uzavřené skript:

      1. Všechny tyto žádosti zamítne.

    3. Použijte vložený skript Chcete-li zobrazit všechny certifikáty, jejichž platnost vypršela. Ujistěte se, že tyto nejsou zašifrované certifikáty, které se stále používají k dešifrování dat. Jsou zašifrovány Prošlé certifikáty?

      1. Pokud ano, přesvědčte se, zda jsou data dešifrovat a poté zašifrováno pomocí nového klíče, která je založená na certifikátu, který je vytvořen pomocí softwaru zprostředkovatele KSP.

      2. Pokud ne, můžete bez obav ignorovat certifikátů.

    4. Ujistěte se, že je proces, který zakazuje se náhodně odvolání správce těchto odvolaných certifikátů.


Ujistěte se, že nové certifikáty KDC splňují aktuální doporučené postupy

Rizika: Mnoho jiných serverů splňují kritéria ověření řadičem domény a ověření řadičem domény. To může zavést způsoby útoku známé neautorizovaných serverů KDC.


Náprava škod

Všechny řadiče domény měly být vydávány certifikáty, které mají služba KDC EKU, jako [RFC 4556] bodu 3.2.4. Pro službu AD CS použít šablonu pro ověřování pomocí protokolu Kerberos a nakonfigurujete ho k nahrazení všech KDC certifikátů, které byly vydány.

Další informace [RFC 4556] Dodatek C popisuje historii různých šablon certifikátu KDC v systému Windows.

Pokud všechny řadiče domény mít specifikaci RFC KDC certifikáty, systém Windows můžete zabezpečit sám Povolení přísného KDC ověřování v systému Windows pomocí protokolu Kerberos.

Poznámka: Ve výchozím nastavení bude nutné novější protokol Kerberos veřejné klíče funkce.


Ujistěte se, že odvolaných certifikátů nezdaří příslušné scénáře

AD CS se používá pro různé scénáře v organizaci. Může být použit pro Wi-Fi, VPN, KDC, System Center Správce konfigurace a tak dále.

Určete všechny scénáře ve vaší organizaci. Přesvědčte se, zda tyto scénáře se nezdaří, pokud mají odvolané certifikáty nebo že jste nahradili odvolané certifikáty platné software na základě certifikátů a úspěšní scénáře.

Pokud používáte protokol OCSP nebo seznamy CRL, tyto aktualizace ihned po vypršení jejich platnosti. Však obvykle chcete aktualizovat seznamy CRL v mezipaměti ve všech počítačích. Pokud v protokolu OCSP závisí na seznamy odvolaných certifikátů, ujistěte se, že získá nejnovější CRL okamžitě.

Abyste měli jistotu, že mezipaměti budou odstraněny, spusťte následující příkazy ve všech ohrožených počítačích:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Aktualizace firmwaru

Aktualizace vydané výrobcem OEM, chcete-li opravit chybu v čipu TPM. Po aktualizaci systému můžete aktualizovat šablony certifikátů pro použití založené na čipu TPM KSP.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×