דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

סיכום

קיימת פגיעות אבטחה בערכות שבבים מסוימות של מודול פלטפורמה מהימנה (TPM). הפגיעות מחלישה את חוזק המפתח. כדי ללמוד עוד על הפגיעות, עבור אל ADV170012.

מידע נוסף

סקירה

הסעיפים הבאים יסייעו לך לזהות ולתקן בעיות בתחומים של Active Directory (AD) ובבקרי תחום המושפעים מהפגיעות המתוארת בעלון היידוע של Microsoft SECURITY ADV170012.

תהליך הפחתת הסיכון מתמקד בתרחיש המפתח הציבורי הבא של Active Directory:

  • מפתחות אישור מחשב המצורפים לתחום

לקבלת מידע אודות ביטול והנפקת אישורי KDC חדשים, ראה תוכנית להפחתת תרחישים המבוססים על שירותי אישורים של Active Directory.

קביעת תהליך הסיכון של מפתח למחשב המצורף לתחום

קביעת זרימת הסיכון מפתח האישור של המחשב לתחום

האם יש לך בקרי תחום של Windows Server 2016 (או גירסאות מאוחרות יותר)?

מפתחות האישורים הוצגו עבור בקרי תחום של Windows Server 2016. בקרי קבוצות מחשבים מוסיפים את ה-SID KEY_TRUST_IDENTITY (S-1-18-4) המוכר היטב כאשר מפתח אישור משמש לאימות. בקרי קבוצות מחשבים קודמים לא תמכו במפתחות אישורים, ולכן המודעה אינה תומכת באובייקטי מפתח אישורים ובבקרי תחום ברמה הגבוהה אינם יכולים לאמת מנהלים באמצעות מקשי אישורים.

בעבר, ניתן להשתמש בתכונה ' זהויות אלטאבטחה ' (הנקראות לעתים קרובות כ- altsecurityidentities) כדי לספק התנהגות דומה. Altssecid של הקצאת האספקה אינו נתמך מקורי על-ידי Windows. לכן, תזדקק לפתרון של ספק חיצוני המספק התנהגות זו. אם המפתח המוקצה פגיע, יש לעדכן את altSsecID המתאים ב-AD.

האם כל התחומים של Windows Server 2016 (או גירסה מתקדמת יותר) DFL?

Windows Server 2016 בקרי תחום תומכים בקריפטוגרפיה באמצעות מפתח ציבורי עבור אימות ראשוני ב-Kerberos (PKINIT) הארכה רעננות [RFC 8070], אם כי לא כברירת מחדל. כאשרהתמיכה עבור PKInit טריות הרחבה מופעלת על בקרי תחום ב-Windows Server 2016 dfl או בתחומים מאוחרים יותר, בקרי התחום להוסיף את ה-SID FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) כאשר הסיומת היא בהצלחה שמש. לקבלת מידע נוסף, ראה לקוח Kerberos ותמיכת KDC עבור RFC 8070 PKInit טריות הארכה.

תיקון מחשבים

מתן שירות ל-Windows 10 מחשבים בעלי עדכוני האבטחה של אוקטובר 2017 יסיר את מפתח אישור ה-TPM הקיים. Windows יעביר רק מפתחות המוגנים על-ידי משמר האישורים כדי להבטיח הגנה מפני כרטיסים עבור מפתחות התקנים המצורפים לתחום. מכיוון שלקוחות רבים מוסיפים את משמר האישורים גם לאחר הצטרפות למחשבים שלהם, שינוי זה מבטיח כי התקנים בעלי משמר האישורים הופעלו יכולים להבטיח שכל TGTs שהונפקו באמצעות מפתח האישור מוגנים על-ידי משמר האישורים.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×