סיכום
קיימת פגיעות אבטחה בשבבים Trusted Platform Module (TPM) מסוימים. הפגיעות נחלש חוזק מפתח.כדי ללמוד עוד אודות פגיעות זו, עבור אל ADV170012.
מידע נוסף
מבט כולל
הסעיפים הבאים יסייעו לך לזהות, לצמצם ולתקן Active Directory אישורים Services (AD CS)-להנפיק אישורים ובקשות שהושפעו מפגיעות המזוהה ב- ADV170012 עלון יידוע בנושא אבטחה של Microsoft .
תהליך הפחתת הסיכון מתמקד זיהוי אישורים שהונפקו המושפעות מהפגיעות ולאחר מתמקד גם מבטל אותם.
האם אישורים מסוג x.509 שהונפקו בתוך הארגון שלך המבוסס על תבנית אשר מציין את ה-TPM KSP?
אם הארגון שלך משתמש TPM KSP, סביר להניח כי תרחישים שבהם נעשה שימוש באישורים אלה הם חשופה הפגיעות שתוארה בעלון היידוע.
להפחתת הסיכון
-
עד עדכון קושחה המתאימה זמינה עבור ההתקן שלך, עדכן תבניות אישורים המוגדרים לשימוש TPM KSP לשימוש של KSP מבוססת-תוכנה. הדבר ימנע יצירת כל אישורי בעתיד המשתמשות TPM KSP והם, לפיכך, פגיעה. לקבלת מידע נוסף, ראה עדכון קושחה בהמשך מאמר זה.
-
עבור כבר יצרת אישורים או בקשות:
-
שימוש בקובץ script המצורף כדי לפרט את כל האישורים שהונפקו עלול להיות פגיע.
-
ביטול אישורים אלה על-ידי העברת רשימת מספרים סידוריים שקיבלת בשלב הקודם.
-
אכוף הרשמת אישורים חדשים בהתבסס על תצורת תבנית המציינת תוכנה KSP כעת.
-
הפעל מחדש את כל תרחישי באמצעות אישורים חדשים בכל מקום בו אתה יכול.
-
-
שימוש בקובץ script המצורף כדי לפרט את כל האישורים המבוקשים עלול להיות פגיע:
-
דחה את כל בקשות אישורים אלה.
-
-
שימוש בקובץ script המצורף כדי לפרט את כל תעודות שפג תוקפן. ודא כי אין אלה אישורים מוצפנים המשמשים עדיין לפענח נתונים. תעודות שפג תוקפן מוצפנים
-
אם כן, ודא כי הנתונים לפענח ולאחר מכן מוצפנים באמצעות מפתח חדש שמבוסס ביטול אישור שנוצר על-ידי שימוש בתוכנה KSP.
-
אם לא, תוכל להתעלם בבטחה את האישורים.
-
-
ודא כי היא תהליך מניעה אלה אישורים שבוטלו כעת unrevoked בטעות על-ידי מנהל המערכת.
-
ודא כי אישורי מרכז להפצת מפתחות חדש לעמוד הנוכחי שיטות עבודה מומלצות
סיכון: שרתים רבים אחרים עשויים עונות על הקריטריונים אימות בקר תחום וכן אימות בקר תחום. מצב זה עלול לגרום מתחזה ידועים KDC התקפה.
תיקונים
כל בקרי קבוצות המחשבים צריכים להיות אישורים שהונפקו הכוללים את KDC EKU, כפי שצוין במקטע [RFC 4556] בסעיף 3.2.4. עבור AD CS, השתמש בתבנית אימות Kerberos, וכיצד לקבוע את תצורתה מחליף אישורים KDC אחרים שהונפקו.
לקבלת מידע נוסף, [RFC 4556] נספח ג' מסביר את ההיסטוריה של תבניות אישור KDC שונים ב- Windows.
כאשר כל בקרי קבוצות המחשבים יש אישורים KDC התואם ל- RFC, Windows יכול להגן על עצמו על-ידי הפעלת אימות KDC מחמירה ב- Windows Kerberos.
הערה כברירת מחדל, יהיה צורך Kerberos ציבורי מפתח תכונות חדשות.
ודא כי אישורים שבוטלו להיכשל התרחיש המתאים
AD CS משמש עבור התרחישים השונים בארגון. הוא עשוי לשמש עבור Wi-Fi, VPN, KDC, מנהל התצורה של מרכז המערכת, וכן הלאה.
זהה את התרחישים בארגון שלך. ודא תרחישים אלה ייכשלו אם יש להם אישורים שבוטלו או שהשתמשת אישורים שבוטלו עם תוכנה חוקית מבוסס אישורים התרחישים עוברות בהצלחה.
אם אתה משתמש OCSP או רשימות ביטול אישורים אלה תעדכן ברגע שתוקפן פג. עם זאת, בדרך כלל ברצונך לעדכן את רשימות ביטול אישורים המאוחסנים במטמון בכל המחשבים. אם OCSP שלך מסתמך על Crl, ודא כי הוא משיג Crl העדכנית ביותר באופן מיידי.
כדי לוודא מטמוני נמחקים, הפעל את הפקודות הבאות בכל המחשבים המושפעים:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
עדכון קושחה
התקנת את העדכון שפורסם על-ידי יצרן הציוד המקורי כדי לתקן את הפגיעות ב- TPM. לאחר עדכון המערכת, באפשרותך לעדכן את תבניות האישורים לשימוש KSP מבוסס על-ידי ה-TPM.
