Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Zusammenfassung

Es liegt ein Sicherheitsrisiko bei bestimmten TMP-Chipsätzen (Trusted Platform Module) vor. Das Sicherheitsrisiko vermindert die Schlüsselstärke.

Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter ADV170012.

Weitere Informationen

Übersicht

Die folgenden Abschnitte unterstützen Sie beim Identifizieren und Beheben von Problemen in Active Directory-Domänen (AD) und Domänencontrollern, die von dem in Microsoft-Sicherheitsempfehlung ADV170012 beschriebenen Sicherheitsrisiko betroffen sind.

Dieser Risikominderungsprozess konzentriert sich auf das folgende Szenario mit öffentlichen Schlüsseln für Active Directory:

  • Anmeldeinformationsschlüssel für in eine Domäne eingebundene Computer

Weiter Informationen zum Widerrufen von KDC-Zertifikaten und zum Ausstellen neuer KDC-Zertifikate finden Sie unter Vorbeugende Maßnahmen für auf Active Directory-Zertifikatdiensten basierende Szenarien

Ermitteln des Workflows für Anmeldeinformationsschlüssel für in eine Domäne eingebundene Computer

Bestimmen der Domäne beigetretenen Computer Anmeldeinformationen wesentliche workflow

Haben Sie Windows Server 2016-Domänencontroller (oder höher)?

Anmeldeinformationsschlüssel wurden für Windows Server 2016-Domänencontroller eingeführt. Domänencontroller fügen die bekannte SID „KEY_TRUST_IDENTITY“ (S-1-18-4) hinzu, wenn ein Anmeldeinformationsschlüssel für die Authentifizierung verwendet wird. Frühere Domänencontroller unterstützten Anmeldeinformationsschlüssel nicht, daher unterstützt AD keine Anmeldeinformationsschlüsselobjekte. Außerdem können kompatible Domänencontroller Prinzipale nicht mithilfe von Anmeldeinformationsschlüsseln authentifizieren.

Vorher konnte das Attribut altSecurityIdentities (häufig als altSecID bezeichnet) verwendet werden, um ein ähnliches Verhalten bereitzustellen. Die Bereitstellung von altSsecID wird von Windows nicht nativ unterstützt. Daher benötigen Sie eine Drittanbieterlösung, die dieses Verhalten bereitstellt. Wenn der bereitgestellte Schlüssel anfällig ist, muss die entsprechende „altSsecID“ in AD aktualisiert werden.

Gibt es Domänen mit der Domänenfunktionsebene Windows Server 2016 (oder höher)?

Windows Server 2016-Domänencontroller unterstützen Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) Freshness Extension (RFC 8070), allerdings nicht standardmäßig. WennUnterstützung für PKInit Freshness Extension auf Domänencontrollern in Domänen mit Domänenfunktionsebene Windows Server 2016 oder höher aktiviert ist und die Erweiterung erfolgreich verwendet wird, fügen die Domänencontroller die bekannte SID „FRESH_PUBLIC_KEY_IDENTITY“ (S-1-18-3) hinzu. Weitere Informationen finden Sie unter Kerberos-Client und KDC-Unterstützung für RFC 8070 PKInit Freshness Extension.

Anwenden von Patches auf Computer

Bei der Wartung von Windows 10-Computern mit den Sicherheitsupdates vom October 2017 wird der vorhandene TPM-Anmeldeinformationsschlüssel entfernt. Windows stellt nur mit Credential Guard geschützte Schlüssel bereit, um Pass-the-Ticket-Schutz für die Schlüssel von in eine Domäne eingebundenen Geräten sicherzustellen. Da viele Kunden Credential Guard deutlich nach dem Einbinden ihrer Computer in eine Domäne hinzufügen, stellt diese Änderung sicher, dass Geräte, auf denen Credential Guard aktiviert ist, sicherstellen können, dass mit dem Anmeldeinformationsschlüssel ausgestellte TGTs durch Credential Guard geschützt sind.

Temporärer Domänenschutz

Bis Microsoft eine Wartungskorrektur für Domänencontroller veröffentlicht und Sie einen Rollout für diese ausführen, können sich Angreifer mithilfe der fehlerhaften Anmeldeinformationsschlüssel in AD als das jeweilige in eine Domäne eingebundene Gerät authentifizieren. Der Schweregrad hängt vom betroffenen Gerät ab. Sie können beispielsweise beschließen, dem Schutz Ihrer Computerkonten für Domänencontroller höhere Priorität einzuräumen als dem Schutz anderer Arten von Computerkonten.

Sie können Computerkonten vor diesem Sicherheitsrisiko schützen, indem Sie für das Computerobjekt in Active Directory einen nicht verwendbaren Anmeldeinformationsschlüssel festlegen. Dies führt dazu, dass bei der Authentifizierung mit dem Anmeldeinformationsschlüssel für den Computer ein Fehler auftritt. Der Computer verwendet dann anstelle des Anmeldeinformationsschlüssels Kennwortauthentifizierung.

Hinweis Stellen Sie sicher, dass die Gruppenrichtlinie zum Erzwingen der Geräteauthentifizierung mit einem Zertifikat nicht konfiguriert ist. Weitere Informationen finden Sie unter „Konfigurieren eines Geräts für die ausschließliche Verwendung eines öffentlichen Schlüssels“ in Authentifizierung mit öffentlichem Schlüssel für ein in eine Domäne eingebundenes Gerät.

Zuerst müssen Sie das Windows PowerShell-Modul für Anmeldeinformationsschlüssel für Active Directory-Computer herunterladen.

Deaktivieren Sie dann anhand der folgenden Beispiele den Anmeldeinformationsschlüssel für Computer für Ihre Computerkonten in Active Directory

Beispiel: Deaktivieren des Anmeldeinformationsschlüssels für ein einzelnes Computerkonto

In diesem Beispiel legen wir einen nicht verwendbaren Anmeldeinformationsschlüssel für ein einziges Computerobjekt in Active Directory fest:

Import-Module .\ADComputerKeys.psm1;

Set-DRComputerKey -SamAccountName "MyComputer$" -Domain "contoso.com" -ReplaceWithUnusableKey;

Beispiel: Deaktivieren des Anmeldeinformationsschlüssels für mehrere Computerkonten

In diesem Beispiel legen wir einen nicht verwendbaren Anmeldeinformationsschlüssel für mehrere Computerobjekte in Active Directory fest: Dazu kombinieren wir dieses Modul mit dem PowerShell-Modul „ActiveDirectory“.

Verwenden Sie zum Beispiel als Ziel alle Computer in der fiktiven Organisationseinheit „Shipping Department“.

Import-Module .\ADComputerKeys.psm1;

Import-Module ActiveDirectory;

$computers = Get-ADComputer -SearchBase "OU=Shipping Department,DC=contoso,DC=com" -LDAPFilter "(CN=*)" -Server "contoso.com";

foreach($comp in $computers)

{

    Set-DRComputerKey -SamAccountName $comp.SamAccountName -Domain "contoso.com" -ReplaceWithUnusableKey;

}

Entfernen des temporären Domänenschutzes

Nach der Wartung der Domänencontroller können Sie den nicht verwendbaren Schlüssel aus allen Computerobjekten in Active Directory entfernen. Dann können für alle Computerkonten neue Anmeldeinformationsschlüssel generiert werden, die diese anstelle der Kennwortauthentifizierung verwenden können.

Zuerst müssen Sie das Windows PowerShell-Modul für Anmeldeinformationsschlüssel für Active Directory-Computer herunterladen.

Entfernen Sie dann gemäß diesem Beispiel den Anmeldeinformationsschlüssel aus Computerobjekten:

Beispiel: Entfernen des Anmeldeinformationsschlüssels aus mehreren Computerkonten

In diesem Beispiel entfernen wir den Anmeldeinformationsschlüssel aus mehreren Computerobjekten in Active Directory: Dazu kombinieren wir dieses Modul mit dem PowerShell-Modul „ActiveDirectory“.

Verwenden Sie zum Beispiel als Ziel alle Computer in der fiktiven Organisationseinheit „Shipping Department“.

Import-Module .\ADComputerKeys.psm1;

Import-Module ActiveDirectory;

$computers = Get-ADComputer -SearchBase "OU=Shipping Department,DC=contoso,DC=com" -LDAPFilter "(CN=*)" -Server "contoso.com";

foreach($comp in $computers)

{

    Set-DRComputerKey -SamAccountName $comp.SamAccountName -Domain "contoso.com" -RemoveKey

}

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×