Μετάβαση στο κύριο περιεχόμενο
Υποστήριξη
Είσοδος
Είσοδος με Microsoft
Είσοδος ή δημιουργία λογαριασμού.
Γεια σας,
Επιλέξτε διαφορετικό λογαριασμό.
Έχετε πολλούς λογαριασμούς
Επιλέξτε τον λογαριασμό με τον οποίο θέλετε να εισέλθετε.

Σύνοψη

Ένα θέμα ευπάθειας ασφαλείας που υπάρχει στο συγκεκριμένο chipset του μονάδας αξιόπιστης πλατφόρμας (TPM). Το θέμα ευπάθειας εξασθενεί ισχύ κλειδιού.

Για να μάθετε περισσότερα σχετικά με αυτό το θέμα ευπάθειας, επισκεφθείτε ADV170012.

Περισσότερες πληροφορίες

Επισκόπηση

Οι ενότητες που ακολουθούν θα σας βοηθήσει να αναγνωρίσετε, μετριασμό και αποκατάσταση των υπηρεσιών πιστοποιητικού Active Directory (AD CS)-που έχουν εκδοθεί πιστοποιητικά και οι αιτήσεις που έχουν επηρεαστεί από το θέμα ευπάθειας που προσδιορίζεται στο ADV170012 συμβουλευτικό δελτίο ασφαλείας για το Microsoft .

Η διαδικασία μετριασμού εστιάζει στην αναγνώριση των εκδοθέντων πιστοποιητικών που επηρεάζονται από την ευπάθεια, και επίσης εστιάζει στην ανάκληση τους.

Είναι τα πιστοποιητικά x.509 που εκδόθηκαν μέσα την επιχείρησή σας βασίζεται σε ένα πρότυπο που καθορίζει TPM KSP;

Εάν η εταιρεία σας χρησιμοποιεί TPM KSP, είναι πιθανό ότι σενάρια όπου χρησιμοποιούνται τα πιστοποιητικά αυτά είναι ευάλωτα στο θέμα ευπάθειας που προσδιορίζεται στο το συμβουλευτικό δελτίο ασφαλείας.


Μετριασμού

  1. Μέχρι να υπάρχει μια κατάλληλη ενημερωμένη έκδοση υλικολογισμικού για τη συσκευή σας, ενημερώστε τα πρότυπα πιστοποιητικών που έχουν ρυθμιστεί να χρησιμοποιούν την υπηρεσία KSP TPM για να χρησιμοποιήσετε μια υπηρεσία KSP βασισμένη σε λογισμικό. Αυτό θα εμποδίσει τη δημιουργία ευάλωτο οποιαδήποτε μελλοντική πιστοποιητικά που χρησιμοποιούν TPM KSP και είναι, επομένως. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα υλικολογισμικού ενημέρωση αργότερα σε αυτό το άρθρο.

  2. Για ήδη δημιουργήσει πιστοποιητικά ή αιτήσεων:

    1. Χρησιμοποιήστε τη δέσμη ενεργειών που εσωκλείεται για να εμφανίσετε όλα τα εκδοθέντα πιστοποιητικά που μπορεί να είναι ευπαθές.

      1. Ανακαλεί τα πιστοποιητικά αυτά μεταβιβάζοντας τη λίστα σειριακών αριθμών που αναφέρεται στο προηγούμενο βήμα.

      2. Επιβάλλει την εγγραφή των νέων πιστοποιητικών με βάση τη ρύθμιση παραμέτρων του προτύπου που τώρα καθορίζει λογισμικού KSP.

      3. Εκτελέστε πάλι όλα τα σενάρια χρησιμοποιώντας τα νέα πιστοποιητικά, όπου μπορείτε να κάνετε.

    2. Χρησιμοποιήστε τη δέσμη ενεργειών που εσωκλείεται, για να εμφανίσετε όλα τα πιστοποιητικά που ζητήθηκαν που μπορεί να είναι ευπαθές:

      1. Απορρίψτε όλες αυτές τις αιτήσεις πιστοποιητικών.

    3. Χρησιμοποιήστε τη δέσμη ενεργειών που εσωκλείεται, για να εμφανίσετε όλα τα πιστοποιητικά που έχουν λήξει. Βεβαιωθείτε ότι δεν πρόκειται για κρυπτογραφημένα πιστοποιητικά που εξακολουθούν να χρησιμοποιούνται για την αποκρυπτογράφηση δεδομένων. Κρυπτογραφούνται τα πιστοποιητικά που έχουν λήξει;

      1. Εάν Ναι, βεβαιωθείτε ότι τα δεδομένα αποκρυπτογραφούνται και, στη συνέχεια, κρυπτογραφούνται με ένα νέο κλειδί που βασίζεται σε πιστοποιητικό που δημιουργείται με τη χρήση λογισμικού KSP.

      2. Εάν όχι, μπορείτε να αγνοήσετε τα πιστοποιητικά.

    4. Βεβαιωθείτε ότι υπάρχει μια διεργασία η οποία δεν επιτρέπει αυτά τα πιστοποιητικά που έχουν ανακληθεί από την unrevoked κατά λάθος από το διαχειριστή.


Βεβαιωθείτε ότι η νέα πιστοποιητικά KDC ανταποκρίνονται υπάρχουσας βέλτιστης πρακτικής

Κίνδυνος: Πολλούς άλλους διακομιστές μπορούν να πληρούν τα κριτήρια ελέγχου του ελεγκτή τομέα και έλεγχος ταυτότητας ελεγκτή τομέα. Αυτό μπορεί να προκαλέσει φορέων επίθεσης KDC γνωστές παραπλανητικού διακομιστή.


Αποκατάστασης εύρυθμης λειτουργίας

Όλοι οι ελεγκτές τομέα πρέπει να εκδοθεί πιστοποιητικά που έχουν το KDC EKU, όπως ορίζεται στο [RFC 4556] τμήμα 3.2.4. Για AD CS, χρησιμοποιήστε το πρότυπο τον έλεγχο ταυτότητας Kerberos και ρυθμίσετε έτσι ώστε να αντικαθιστά οποιαδήποτε άλλη KDC πιστοποιητικά που έχουν εκδοθεί.

Για περισσότερες πληροφορίες, παράρτημα C [RFC 4556] εξηγεί το ιστορικό από τα διάφορα πρότυπα πιστοποιητικού KDC στα Windows.

Όταν όλοι οι ελεγκτές τομέα διαθέτουν πιστοποιητικά KDC συμβατό με RFC, τα Windows μπορεί να εξασφαλίζει από την Ενεργοποίηση αυστηρή επικύρωση KDC στο Windows Kerberos.

Σημείωση Από προεπιλογή, θα απαιτείται νεότερη Kerberos δημόσιου κλειδιού δυνατότητες.


Βεβαιωθείτε ότι τα πιστοποιητικά που ανακλήθηκαν αποτύχει, το αντίστοιχο σενάριο

AD CS χρησιμοποιείται για διάφορα σενάρια σε έναν οργανισμό. Μπορεί να χρησιμοποιηθεί για Wi-Fi, VPN, KDC, System Center Configuration Manager και ούτω καθεξής.

Προσδιορίστε όλα τα σενάρια στον οργανισμό σας. Βεβαιωθείτε ότι αυτά τα σενάρια θα αποτύχει, εάν έχουν τα πιστοποιητικά που έχουν ανακληθεί ή ότι έχετε αντικαταστήσει όλα τα πιστοποιητικά που έχουν ανακληθεί με έγκυρο λογισμικό με βάση τα πιστοποιητικά και ότι τα σενάρια είναι επιτυχής.

Εάν χρησιμοποιείτε OCSP ή μιας λίστας ανάκλησης Πιστοποιητικών, αυτά θα ενημερώσει μόλις λήξουν. Ωστόσο, θέλετε συνήθως να ενημερώσετε το CRL προσωρινής αποθήκευσης σε όλους τους υπολογιστές. Εάν σας OCSP βασίζεται σε CRL, βεβαιωθείτε ότι λαμβάνει την πιο πρόσφατη CRL αμέσως.

Για να βεβαιωθείτε ότι έχουν διαγραφεί το μνημών cache, εκτελέστε τις ακόλουθες εντολές σε όλους τους υπολογιστές που επηρεάζονται:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Ενημερωμένη έκδοση υλικολογισμικού

Εγκατάσταση της ενημερωμένης έκδοσης που κυκλοφορεί από τον OEM για να διορθώσετε το θέμα ευπάθειας της TPM. μετά την ενημέρωση του συστήματος, μπορείτε να ενημερώσετε τα πρότυπα πιστοποιητικών για να χρησιμοποιήσετε KSP βασίζεται σε TPM.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με τη γλωσσική ποιότητα;
Τι επηρέασε την εμπειρία σας;
Πατώντας "Υποβολή" τα σχόλια σας θα χρησιμοποιηθούν για τη βελτίωση των προϊόντων και των υπηρεσιών της Microsoft. Ο διαχειριστής IT θα έχει τη δυνατότητα να συλλέξει αυτά τα δεδομένα. Δήλωση προστασίας προσωπικών δεδομένων.

Σας ευχαριστούμε για τα σχόλιά σας!

×