Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Σύνοψη

Ένα θέμα ευπάθειας ασφαλείας που υπάρχει στο συγκεκριμένο chipset του μονάδας αξιόπιστης πλατφόρμας (TPM). Το θέμα ευπάθειας εξασθενεί ισχύ κλειδιού.Για να μάθετε περισσότερα σχετικά με αυτό το θέμα ευπάθειας, επισκεφθείτε ADV170012.

Περισσότερες πληροφορίες

Επισκόπηση

Οι ενότητες που ακολουθούν θα σας βοηθήσει να αναγνωρίσετε, μετριασμό και αποκατάσταση των υπηρεσιών πιστοποιητικού Active Directory (AD CS)-που έχουν εκδοθεί πιστοποιητικά και οι αιτήσεις που έχουν επηρεαστεί από το θέμα ευπάθειας που προσδιορίζεται στο ADV170012 συμβουλευτικό δελτίο ασφαλείας για το Microsoft .

Η διαδικασία μετριασμού εστιάζει στην αναγνώριση των εκδοθέντων πιστοποιητικών που επηρεάζονται από την ευπάθεια, και επίσης εστιάζει στην ανάκληση τους.

Είναι τα πιστοποιητικά x.509 που εκδόθηκαν μέσα την επιχείρησή σας βασίζεται σε ένα πρότυπο που καθορίζει TPM KSP;

Εάν η εταιρεία σας χρησιμοποιεί TPM KSP, είναι πιθανό ότι σενάρια όπου χρησιμοποιούνται τα πιστοποιητικά αυτά είναι ευάλωτα στο θέμα ευπάθειας που προσδιορίζεται στο το συμβουλευτικό δελτίο ασφαλείας.

Μετριασμού

  1. Μέχρι να υπάρχει μια κατάλληλη ενημερωμένη έκδοση υλικολογισμικού για τη συσκευή σας, ενημερώστε τα πρότυπα πιστοποιητικών που έχουν ρυθμιστεί να χρησιμοποιούν την υπηρεσία KSP TPM για να χρησιμοποιήσετε μια υπηρεσία KSP βασισμένη σε λογισμικό. Αυτό θα εμποδίσει τη δημιουργία ευάλωτο οποιαδήποτε μελλοντική πιστοποιητικά που χρησιμοποιούν TPM KSP και είναι, επομένως. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα υλικολογισμικού ενημέρωση αργότερα σε αυτό το άρθρο.

  2. Για ήδη δημιουργήσει πιστοποιητικά ή αιτήσεων:

    1. Χρησιμοποιήστε τη δέσμη ενεργειών που εσωκλείεται για να εμφανίσετε όλα τα εκδοθέντα πιστοποιητικά που μπορεί να είναι ευπαθές.

      1. Ανακαλεί τα πιστοποιητικά αυτά μεταβιβάζοντας τη λίστα σειριακών αριθμών που αναφέρεται στο προηγούμενο βήμα.

      2. Επιβάλλει την εγγραφή των νέων πιστοποιητικών με βάση τη ρύθμιση παραμέτρων του προτύπου που τώρα καθορίζει λογισμικού KSP.

      3. Εκτελέστε πάλι όλα τα σενάρια χρησιμοποιώντας τα νέα πιστοποιητικά, όπου μπορείτε να κάνετε.

    2. Χρησιμοποιήστε τη δέσμη ενεργειών που εσωκλείεται, για να εμφανίσετε όλα τα πιστοποιητικά που ζητήθηκαν που μπορεί να είναι ευπαθές:

      1. Απορρίψτε όλες αυτές τις αιτήσεις πιστοποιητικών.

    3. Χρησιμοποιήστε τη δέσμη ενεργειών που εσωκλείεται, για να εμφανίσετε όλα τα πιστοποιητικά που έχουν λήξει. Βεβαιωθείτε ότι δεν πρόκειται για κρυπτογραφημένα πιστοποιητικά που εξακολουθούν να χρησιμοποιούνται για την αποκρυπτογράφηση δεδομένων. Κρυπτογραφούνται τα πιστοποιητικά που έχουν λήξει;

      1. Εάν Ναι, βεβαιωθείτε ότι τα δεδομένα αποκρυπτογραφούνται και, στη συνέχεια, κρυπτογραφούνται με ένα νέο κλειδί που βασίζεται σε πιστοποιητικό που δημιουργείται με τη χρήση λογισμικού KSP.

      2. Εάν όχι, μπορείτε να αγνοήσετε τα πιστοποιητικά.

    4. Βεβαιωθείτε ότι υπάρχει μια διεργασία η οποία δεν επιτρέπει αυτά τα πιστοποιητικά που έχουν ανακληθεί από την unrevoked κατά λάθος από το διαχειριστή.

Βεβαιωθείτε ότι η νέα πιστοποιητικά KDC ανταποκρίνονται υπάρχουσας βέλτιστης πρακτικής

Κίνδυνος: Πολλούς άλλους διακομιστές μπορούν να πληρούν τα κριτήρια ελέγχου του ελεγκτή τομέα και έλεγχος ταυτότητας ελεγκτή τομέα. Αυτό μπορεί να προκαλέσει φορέων επίθεσης KDC γνωστές παραπλανητικού διακομιστή.

Αποκατάστασης εύρυθμης λειτουργίας

Όλοι οι ελεγκτές τομέα πρέπει να εκδοθεί πιστοποιητικά που έχουν το KDC EKU, όπως ορίζεται στο [RFC 4556] τμήμα 3.2.4. Για AD CS, χρησιμοποιήστε το πρότυπο τον έλεγχο ταυτότητας Kerberos και ρυθμίσετε έτσι ώστε να αντικαθιστά οποιαδήποτε άλλη KDC πιστοποιητικά που έχουν εκδοθεί.

Για περισσότερες πληροφορίες, παράρτημα C [RFC 4556] εξηγεί το ιστορικό από τα διάφορα πρότυπα πιστοποιητικού KDC στα Windows.

Όταν όλοι οι ελεγκτές τομέα διαθέτουν πιστοποιητικά KDC συμβατό με RFC, τα Windows μπορεί να εξασφαλίζει από την Ενεργοποίηση αυστηρή επικύρωση KDC στο Windows Kerberos.

Σημείωση Από προεπιλογή, θα απαιτείται νεότερη Kerberos δημόσιου κλειδιού δυνατότητες.

Βεβαιωθείτε ότι τα πιστοποιητικά που ανακλήθηκαν αποτύχει, το αντίστοιχο σενάριο

AD CS χρησιμοποιείται για διάφορα σενάρια σε έναν οργανισμό. Μπορεί να χρησιμοποιηθεί για Wi-Fi, VPN, KDC, System Center Configuration Manager και ούτω καθεξής.

Προσδιορίστε όλα τα σενάρια στον οργανισμό σας. Βεβαιωθείτε ότι αυτά τα σενάρια θα αποτύχει, εάν έχουν τα πιστοποιητικά που έχουν ανακληθεί ή ότι έχετε αντικαταστήσει όλα τα πιστοποιητικά που έχουν ανακληθεί με έγκυρο λογισμικό με βάση τα πιστοποιητικά και ότι τα σενάρια είναι επιτυχής.

Εάν χρησιμοποιείτε OCSP ή μιας λίστας ανάκλησης Πιστοποιητικών, αυτά θα ενημερώσει μόλις λήξουν. Ωστόσο, θέλετε συνήθως να ενημερώσετε το CRL προσωρινής αποθήκευσης σε όλους τους υπολογιστές. Εάν σας OCSP βασίζεται σε CRL, βεβαιωθείτε ότι λαμβάνει την πιο πρόσφατη CRL αμέσως.

Για να βεβαιωθείτε ότι έχουν διαγραφεί το μνημών cache, εκτελέστε τις ακόλουθες εντολές σε όλους τους υπολογιστές που επηρεάζονται:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now

Ενημερωμένη έκδοση υλικολογισμικού

Εγκατάσταση της ενημερωμένης έκδοσης που κυκλοφορεί από τον OEM για να διορθώσετε το θέμα ευπάθειας της TPM. μετά την ενημέρωση του συστήματος, μπορείτε να ενημερώσετε τα πρότυπα πιστοποιητικών για να χρησιμοποιήσετε KSP βασίζεται σε TPM.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας