Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Zusammenfassung

Es liegt ein Sicherheitsrisiko bei bestimmten TMP-Chipsätzen (Trusted Platform Module) vor. Das Sicherheitsrisiko vermindert die Schlüsselstärke.

Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter ADV170012.

Weitere Informationen

Übersicht

Die folgenden Abschnitte unterstützen Sie beim Identifizieren, Mindern und Beheben von Problemen mit Zertifikaten, die von den Active Directory-Zertifikatdiensten (Active Directory Certificate Services, AD CS) ausgestellt wurden, und Anforderungen, die von dem in Microsoft-Sicherheitsempfehlung ADV170012 beschriebenen Sicherheitsrisiko betroffen sind.

Der Risikominderungsprozess konzentriert sich auf das Identifizieren und Widerrufen der ausgestellten Zertifikate, die von dem Sicherheitsrisiko betroffen sind.

Basieren die in Ihrem Unternehmen ausgestellten x.509-Zertifikate auf einer Vorlage, die einen TPM-KSP angibt?

Wenn Ihr Unternehmen einen TPM-KSP nutzt, sind Szenarien, in denen diese Zertifikate verwendet werden, anfällig für das in der Sicherheitsempfehlung identifizierte Sicherheitsrisiko.


Risikominderung

  1. Aktualisieren Sie Zertifikatvorlagen, für die die Verwendung eines TPM-KSP festgelegt ist, so, dass ein softwarebasierter KSP verwendet wird, bis ein entsprechendes Firmwareupdate für Ihr Gerät verfügbar ist. Damit verhindern Sie, dass in Zukunft Zertifikate erstellt werden, die den TPM-KSP verwenden und daher anfällig sind. Weitere Informationen hierzu finden Sie weiter unten in diesem Artikel unter Firmwareupdate.

  2. Für bereits erstellte Zertifikate oder Anforderungen:

    1. Listen Sie mit dem beigefügten Skript alle ausgestellten Zertifikate auf, die anfällig sein könnten. 

      1. Widerrufen Sie diese Zertifikate, indem Sie die Liste der Seriennummern übergeben, die Sie im vorherigen Schritt abgerufen haben.

      2. Erzwingen Sie die Registrierung neuer Zertifikate basierend auf der Vorlagenkonfiguration, die jetzt einen Software-KSP angibt.

      3. Führen Sie alle Szenarien erneut aus, und verwenden Sie dabei nach Möglichkeit überall die neuen Zertifikate.

    2. Listen Sie mit dem beigefügten Skript alle angeforderten Zertifikate auf, die anfällig sein könnten:

      1. Lehnen Sie alle diese Zertifikatanforderungen ab.

    3. Listen Sie mit dem beigefügten Skript alle abgelaufenen Zertifikate auf. Stellen Sie sicher, dass es sich dabei nicht um verschlüsselte Zertifikate handelt, die noch zum Entschlüsseln von Daten verwendet werden. Sind die abgelaufenen Zertifikate verschlüsselt?

      1. Wenn ja: Stellen Sie sicher, dass die Daten entschlüsselt sind und dann mit einem neuen Schlüssel verschlüsselt werden. Dieser Schlüssel muss auf einem Zertifikat basieren, das mithilfe eines Software-KSP erstellt wurde.

      2. Wenn nein: Sie können die Zertifikate gefahrlos ignorieren.

    4. Stellen Sie sicher, dass ein Prozess vorhanden ist, der verhindert, dass der Widerruf dieser widerrufenen Zertifikate versehentlich vom Administrator rückgängig gemacht wird.


Sicherstellen, dass neue KDC-Zertifikate den aktuellen Best Practices entsprechen

Risiko: Viele andere Server entsprechen möglicherweise den Überprüfungskriterien für Domänencontroller und Domänencontrollerauthentifizierung. Dies kann zu Angriffsvektoren durch bekannte nicht autorisierte KDCs führen.


Fehlerbehebung

Für alle Domänencontroller sollten Zertifikate ausgestellt werden, die die erweiterte Schlüsselverwendung für das KDC gemäß RFC 4556, Abschnitt 3.2.4, enthalten. Verwenden Sie für AD CS die Kerberos-Authentifizierungsvorlage, und konfigurieren Sie sie so, dass alle anderen ausgestellten KDC-Zertifikate abgelöst werden.

Weitere Informationen finden Sie in RFC 4556, Anhang C. Dort wird der Verlauf der verschiedenen KDC-Zertifikatvorlagen in Windows erläutert.

Wenn alle Domänencontroller über RFC-konforme KDC-Zertifikate verfügen, kann Windows durch Aktivieren der strikten KDC-Überprüfung in Windows-Kerberos sich selbst schützen.

Hinweis Standardmäßig sind neuere Features für öffentliche Kerberos-Schlüssel erforderlich.


Sicherstellen, dass bei gesperrten Zertifikaten im jeweiligen Szenario Fehler auftreten

AD CS wird für verschiedene Szenarien in einer Organisation verwendet. Es kann für WLAN, VPN, KDC, System Center Configuration Manager usw. verwendet werden.

Identifizieren Sie alle Szenarien in Ihrer Organisation. Stellen Sie sicher, dass in diesen Szenarien Fehler auftreten, wenn gesperrte Zertifikate verwendet werden, oder dass Sie alle gesperrten Zertifikate durch gültige softwarebasierte Zertifikate ersetzt haben und dass die Szenarien erfolgreich sind.

Wenn Sie OCSP oder Zertifikatsperrlisten verwenden, werden diese aktualisiert, sobald sie ablaufen. Normalerweise jedoch sollten Sie die zwischengespeicherten Zertifikatsperrlisten auf allen Computern aktualisieren. Wenn Ihr OCSP Zertifikatsperrlisten verwendet, stellen Sie sicher, dass sofort die neuesten Zertifikatsperrlisten abgerufen werden.

Um sicherzustellen, dass die Caches gelöscht werden, führen Sie auf allen betroffenen Computern den folgenden Befehl aus:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Firmwareupdate

Installieren Sie das Update, das der OEM veröffentlicht hat, um das Sicherheitsrisiko im TPM zu beheben. Nach der Aktualisierung des Systems können Sie die Zertifikatvorlagen so aktualisieren, dass der TPM-basierte KSP verwendet wird.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×