Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Resumen

Existe una vulnerabilidad en determinados conjuntos de chips del Módulo de plataforma segura (TPM). La vulnerabilidad debilita a la seguridad de las claves.

Para obtener más información sobre esta vulnerabilidad, consulte ADV170012.

Más información

Información general

En las siguientes secciones se proporciona ayuda para identificar, mitigar y solucionar los problemas de los certificados que emiten los Servicios de certificados de Active Directory (AD CS) y las solicitudes a los que afecta la vulnerabilidad descrita en el Aviso de seguridad de Microsoft ADV170012.

El proceso de mitigación se centra en la identificación de los certificados emitidos afectados por la vulnerabilidad y también se centra en la revocación de estos.

¿Los certificados x.509 emitidos dentro de la empresa se basan en una plantilla que especifica TPM KSP?

Si su empresa usa TPM KSP, es probable que los escenarios en los que se usan estos certificados sean susceptibles a la vulnerabilidad que figura en el aviso de seguridad.


Mitigación

  1. Hasta que no exista una actualización de firmware para su dispositivo, actualice las plantillas de certificado que están definidas para usar TPM KSP y emplee un KSP basado en software. De este modo, se impedirá la creación de certificados futuros que usen TPM KSP y que, por lo tanto, son vulnerables. Para obtener más información, consulte la sección Actualización de firmware de este artículo.

  2. Para certificados o solicitudes ya creados:

    1. Use el script incluido para mostrar todos los certificados emitidos que podrían ser vulnerables. 

      1. Para revocar estos certificados, pase la lista de números de serie que obtuvo en el paso anterior.

      2. Aplique la inscripción de nuevos certificados según la configuración de plantilla que ahora especifica KSP basado en software.

      3. Vuelva a ejecutar todos los escenarios. Para ello, use los nuevos certificados siempre que pueda.

    2. Use el script incluido para enumerar todos los certificados solicitados que podrían ser vulnerables.

      1. Rechace todas estas solicitudes de certificado.

    3. Use el script incluido para mostrar todos los certificados expirados. Asegúrese de que no sean certificados cifrados que aún se usen para descifrar datos. ¿Los certificados expirados están cifrados?

      1. En caso afirmativo, asegúrese de que los datos se descifren y luego se cifren mediante una nueva clave basada en un certificado creado mediante un KSP basado en software.

      2. En caso negativo, puede hacer caso omiso de los certificados con seguridad.

    4. Asegúrese de que existe un proceso que prohíba que el administrador anule accidentalmente la revocación estos certificados revocados.


Asegúrese de que los nuevos certificados KDC cumplan las prácticas recomendadas vigentes

Riesgo: Es posible que muchos otros servidores cumplan los criterios de comprobación del controlador de dominio y autenticación del controlador de dominio. Esto puede introducir vectores de ataque KDC no autorizados conocidos.


Solución

Todos los controladores de dominio deben ser certificados emitidos con el KDC EKU, según se especifica en [RFC 4556], sección 3.2.4. Para AD CS, use la plantilla de autenticación de Kerberos y configúrela para que sustituya todos los demás certificados KDC que se hayan emitido.

Para obtener más información, en el apéndice C de [RFC 4556] se explica la historia de las distintas plantillas de certificado KDC en Windows.

Cuando todos los controladores de dominio tengan certificados KDC compatibles con RFC, Windows puede protegerse al habilitar la validación KDC estricta en el Kerberos de Windows.

Nota De forma predeterminada, se requerirán las características de clave pública de Kerberos más recientes.


Asegúrese de que los certificados revocados no superen el escenario correspondiente

AD CS se usa en distintos escenarios de una organización. Es posible que se use para Wi-Fi, VPN, KDC, System Center Configuration Manager, etc.

Identifique todos los escenarios de la organización Asegúrese de que estos escenarios presenten un error si tienen certificados revocados o de que haya reemplazado todos los certificados revocados por certificados basados en software válidos y que los escenarios se completen correctamente.

Si usa OCSP o CRL, se actualizarán tan pronto como expiren. Sin embargo, normalmente es recomendable actualizar los CRL en caché en todos los equipos. Si el OCSP depende de CRL, asegúrese de que obtenga las CRL más recientes inmediatamente.

Para asegurarse de que se eliminen las memorias caché, ejecute los comandos siguientes en todos los equipos afectados:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Actualización de firmware

Instale la actualización que publique el OEM para corregir la vulnerabilidad en el TPM. Una vez actualizado el sistema, puede actualizar las plantillas de certificado para que usen KSP basados en TPM.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×