Sažetak
Sigurnosna ranjivost postoji u određenim chipsetovima TPM-A. Ranjivost oslabljuje ključnu snagu. Da biste saznali više o ranjivosti, idite na ADV170012.
Dodatne informacije
Pregled
Sljedeći odjeljci pomoći će vam identificirati i otkloniti probleme u domenama Active Directory (AD) i kontrolorima domene na koje utječe ranjivost opisana u Microsoft Security, ADV170012.
Ovaj proces ublažavanja usredotočen je na sljedeći scenarij javnog ključa Active Directory:
-
Ključevi vjerodajnica pridruženim domenama
Za informacije o ukidanju i izdavanju novih KDC certifikata, pogledajte plan ublažavanja za scenarije utemeljene na servisima servisa Active Directory.
Određivanje tijeka rada ključnih vjerodajnica za računalni rizik koji je pridružen domeni
Imate li kontrolere domena sustava Windows Server 2016 (ili noviji)?
Tipke vjerodajnica uvedene su za kontrolere domena sustava Windows Server 2016. Kontroleri domene dodaju poznati SID KEY_TRUST_IDENTITY (S-1-18-4) kada se koristi ključ vjerodajnica za provjeru autentičnosti. Ranije Kontroleri domene nisu podržali tipke vjerodajnica, tako da AD ne podržava objekte ključnih vjerodajnica, a Kontroleri domene na razini dolje ne mogu provjeriti autentičnost principa pomoću ključeva vjerodajnica.
Prije toga, Altsecurity, (često se naziva altsecid) atribut može se koristiti za pružanje sličnog ponašanja. Dodjela resursa Altssecid nije podržan nativno od strane sustava Windows. Stoga vam je potrebno rješenje treće strane koje pruža takvo ponašanje. Ako je ključ koji je dodijeljen je ranjiv, odgovarajući altSsecID bi trebao biti ažuriran u AD.
Jesu li domene Windows Server 2016 (ili noviji) DFL?
Kontroleri domene sustava Windows Server 2016 podržavaju šifriranje javnog ključa za početnu provjeru autentičnosti u Kerberos (PKINIT) proširenje svježine [RFC 8070], iako nije po zadanom. Kada jePodrška za PKInit svježinu proširenja omogućena na kontrolorima domene u sustavu Windows Server 2016 DFL ili novije domene, Kontroleri domene dodaju poznati Sid FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) kada je proširenje uspješno Koristi. Za više informacija, pogledajte Kerberos klijent i KDC Podrška za RFC 8070 PKInit osvježenja ekstenzija.
Spajanje računala
Servisiranje Windows 10 računala koja imaju Listopad 2017 sigurnosna ažuriranja će ukloniti postojeći TPM ključ vjerodajnica. Windows će osigurati samo tipke zaštićene vjerodajnicama kako bi se osigurala zaštita od propusnice za ključeve uređaja pridruženim domeni. Budući da mnogi klijenti dodaju vjerodajnica dobro nakon pridruživanja računalima, ova promjena osigurava da uređaji koji imaju omogućen vjerodajnica mogu osigurati da bilo koje TGTs izdane pomoću ključa vjerodajnica zaštićeni vjerodajnica.
