Kokkuvõte
Turvahaavatavust teatud kiibistikud usaldusväärse platvormi moodul (TPM). Haavatavus vähendab võtmeväärtus.
Lisateabe saamiseks selle haavatavuse, minge ADV170012.
Lisateabe saamiseks
Ülevaade
Järgmistes jaotistes aitab teil ära tunda, leevendada ja kõrvaldada Active Directory Certificate Services (AD CS)-välja antud sertifikaadid ja taotlused, mis olid mõjutatud haavatavust, mis on rakenduses Microsoft Security Advisory ADV170012 .
Leevendamine protsess keskendub tuvastamisel väljaantud sertifikaadid, mida mõjutavad haavatavust ja keskendub ka nende tühistamine.
Kas x.509 serdid, mis on välja antud Mall, mis määrab TPM Muudeti ettevõtte sees?
Kui teie ettevõte kasutab TPM-i Muudeti, on tõenäoline, et serti kasutatakse stsenaariumid on tundlikud turvabülletään tuvastatud haavatavuse.
Leevendamine
-
Kuni vastava püsivara värskendust on saadaval seade, värskendage serdi Mallid, mis on seadistatud kasutama TPM-i Muudeti tarkvarapõhine Muudeti kasutamine. See aitab vältida tulevikus serdid, kasutavad TPM Muudeti ning on seetõttu haavatav loomine. Lisateabe saamiseks lugege käesoleva artikli püsivara värskenduse .
-
Juba loodud serdid või taotlused:
-
Suletud skripti abil saate loetleda kõik väljaantavad sertifikaadid, mis võiks olla haavatav.
-
Need sertifikaadid tühistada kulgeb serial telefoninumbrit eelmises etapis omandatud.
-
Jõustada uus serdid põhineb malli konfiguratsiooni, mida nüüd määrab tarkvara Muudeti registreerimine.
-
Uuesti, kasutades uut serdid võimaluse korral saate kõigis olukordades.
-
-
Suletud skripti abil saate loetleda kõik olla haavatav taotletud sertifikaadid:
-
Nende sertifikaadi taotluse tagasi lükata.
-
-
Suletud skripti abil saate loetleda kõik aegunud sertifikaadid. Veenduge, et need ei ole veel kasutatakse andmeid dekrüptida krüptitud serdid. Aegunud serdid krüptitud?
-
Kui jah, veenduge, et andmed dekrüptida ja seejärel krüptitud uus võti, mis põhineb serti, mis on loodud, kasutades tarkvara Muudeti välja.
-
Kui ei, siis saate need julgelt ignoreerida.
-
-
Veenduge, et on protsess, mis keelab tühistatud sert on kogemata unrevoked administraator.
-
Veenduge, et uue KDC sertifikaadid vastavad olemasolevate parimate tavade
Risk: Paljud teised serverid võib kriteeriumidele domeenikontrolleri ja Domain Controller autentimise kontrollimist. See võib kaasa tuua tuntud petturliku KDC ründevektoreid.
Parandamisest
Kõik domeeni domeenikontrollerid antakse välja serdid EKL KDC [RFC 4556] punkti 3.2.4. AD CS Kerberose autentimine malli kasutada ja konfigureerida nii, et asendab muud KDC sertifikaadid, mis on välja antud.
Lisateabe saamiseks [RFC 4556] lisa C selgitab erinevate KDC serdi Mallid Windows ajalugu.
Kui kõik domeeni domeenikontrollerid on RFC-ga KDC serdid, Windows saab kaitsta ise, Lubades range KDC valideerimine Windowsi Kerberose.
Märkus. Vaikimisi on vajalik uuema Kerberose avaliku võtme funktsioone.
Veenduge, et tühistatud serdid ei vastav stsenaarium
AD CS kasutatakse erinevate stsenaariumite organisatsiooni. Seda võib kasutada Wi-Fi, VPN, KDC, System Center Configuration Manager ja nii edasi.
Tehke kindlaks kõik stsenaariumid oma organisatsiooni. Veenduge, et need stsenaariumid ei õnnestu, kui nad on tühistatud serdid või et tühistatud serdid on asendatud kehtiv tarkvara vastavalt serdid ja stsenaariumid on edukas.
OCSP või CRL-ide kasutamisel need update niipea, kui need aeguvad. Kuid tavaliselt värskendamiseks vahemällu salvestatud CRL-ide kõigis arvutites. Kui teie OCSP sõltub CRL-ide, veenduge, et see hangib uusim CRL-ide kohe.
Veenduge, et vahemälud kustutatakse, käivitage järgmised käsud nakatunud arvutite:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
Püsivara värskenduse
Installige värskendus, mis on välja antud OEM TPM haavatavuse lahendamiseks. pärast seda, kui süsteem on värskendatud, saate värskendada Serdimallide Muudeti TPM-ga kasutamiseks.
