Ringkasan
Ada kerentanan keamanan di chipset terpercaya Platform modul (TPM) tertentu. Kerentanan melemah kekuatan kunci.
Untuk mempelajari selengkapnya tentang kerentanan ini, pergi ke ADV170012.
Informasi lebih lanjut
Gambaran Umum
Bagian berikut ini akan membantu Anda mengidentifikasi, mengurangi dan memperbaiki layanan sertifikat direktori aktif (AD CS)-sertifikat dan permintaan yang dipengaruhi oleh kerentanan yang diidentifikasi dalam ADV170012 penasihat keamanan Microsoft .
Proses mitigasi fokus pada mengidentifikasi sertifikat yang diterbitkan yang dipengaruhi oleh kerentanan, dan juga fokus pada membatalkan mereka.
Apakah sertifikat x.509 yang diberikan di dalam perusahaan Anda didasarkan pada template yang menentukan TPM KSP?
Jika perusahaan Anda menggunakan TPM KSP, ada kemungkinan bahwa skenario di mana sertifikat yang digunakan rentan terhadap kerentanan yang diidentifikasi dalam penasihat keamanan.
Mitigasi
-
Sebelum pemutakhiran firmware yang sesuai tersedia untuk perangkat Anda, pembaruan template sertifikat yang diatur untuk menggunakan TPM KSP untuk menggunakan KSP berbasis perangkat lunak. Ini akan mencegah membuat sertifikat mendatang apa pun yang menggunakan TPM KSP dan adalah, oleh karena itu, rentan. Untuk informasi selengkapnya, lihat memperbarui Firmware kemudian di artikel ini.
-
Untuk membuat sertifikat atau permintaan:
-
Gunakan skrip tertutup untuk daftar semua sertifikat yang diterbitkan yang bisa rentan.
-
Mencabut sertifikat ini dengan melewati daftar nomor seri yang Anda peroleh di langkah sebelumnya.
-
Memaksakan pendaftaran sertifikat baru yang didasarkan pada konfigurasi pola dasar yang sekarang menentukan perangkat lunak KSP.
-
Jalankan kembali semua skenario yang menggunakan sertifikat baru di mana pun Anda bisa.
-
-
Gunakan skrip tertutup untuk daftar semua sertifikat diminta yang bisa rentan:
-
Menolak permintaan sertifikat ini.
-
-
Gunakan skrip tertutup untuk daftar semua sertifikat yang kedaluwarsa. Pastikan bahwa ini adalah tidak dienkripsi sertifikat yang masih digunakan untuk mendekripsi data. Sertifikat yang kedaluwarsa dienkripsi?
-
Jika ya, pastikan bahwa data didekripsi dan kemudian dienkripsi dengan menggunakan kunci baru yang didasarkan dari sertifikat yang dibuat dengan menggunakan perangkat lunak KSP.
-
Jika tidak, Anda dapat mengabaikan sertifikat tersebut.
-
-
Pastikan bahwa ada proses yang melarang sertifikat dicabut yang sengaja unrevoked oleh administrator.
-
Pastikan bahwa sertifikat KDC baru memenuhi praktik terbaik
Risiko: Banyak server dapat memenuhi kriteria verifikasi pengontrol Domain dan otentikasi kontroler Domain. Hal ini dapat memperkenalkan vektor serangan terkenal jahat KDC.
Remediasi
Semua pengontrol domain harus mengeluarkan sertifikat yang memiliki IDEKU KDC, seperti disebutkan di [RFC 4556] Bagian 3.2.4. Untuk AD CS, gunakan Templat otentikasi Kerberos, dan mengkonfigurasi untuk menggantikan sertifikat KDC lainnya yang dikeluarkan.
Untuk informasi lebih lanjut, [RFC 4556] Lampiran C menjelaskan Riwayat berbagai KDC sertifikat pola dasar di Windows.
Bila semua pengontrol Domain memiliki sertifikat sesuai RFC KDC, Windows dapat melindungi diri sendiri dengan Mengaktifkan ketat KDC validasi di Windows Kerberos.
Catatan Secara default, Kerberos umum kunci fitur yang lebih baru akan diperlukan.
Pastikan bahwa sertifikat dicabut gagal skenario masing-masing
AD CS digunakan untuk berbagai skenario dalam suatu organisasi. Ini dapat digunakan untuk Wi-Fi, VPN, KDC, manajer konfigurasi pusat sistem, dan sebagainya.
Mengidentifikasi semua skenario di organisasi Anda. Pastikan bahwa skenario berikut ini akan gagal jika mereka memiliki sertifikat dicabut, atau bahwa Anda telah menggantikan semua sertifikat dicabut dengan perangkat lunak yang valid berbasis sertifikat dan skenario berhasil.
Jika Anda menggunakan OCSP atau CRL, update berikut ini akan segera kedaluwarsa. Namun, Anda biasanya ingin memperbarui tembolok CRL pada semua komputer. Jika Anda OCSP bergantung pada CRL, pastikan bahwa memperoleh CRL terbaru segera.
Untuk memastikan bahwa cache akan dihapus, jalankan perintah berikut pada semua komputer yang terpengaruh:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
Pemutakhiran firmware
Instal pemutakhiran yang diedarkan oleh OEM untuk memperbaiki kerentanan di TPM. Setelah sistem diperbarui, Anda dapat memperbarui template sertifikat untuk menggunakan KSP berbasis TPM.