Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Ringkasan

Ada kerentanan keamanan di chipset terpercaya Platform modul (TPM) tertentu. Kerentanan melemah kekuatan kunci.

Untuk mempelajari selengkapnya tentang kerentanan ini, pergi ke ADV170012.

Informasi lebih lanjut

Gambaran Umum

Bagian berikut ini akan membantu Anda mengidentifikasi, mengurangi dan memperbaiki layanan sertifikat direktori aktif (AD CS)-sertifikat dan permintaan yang dipengaruhi oleh kerentanan yang diidentifikasi dalam ADV170012 penasihat keamanan Microsoft .

Proses mitigasi fokus pada mengidentifikasi sertifikat yang diterbitkan yang dipengaruhi oleh kerentanan, dan juga fokus pada membatalkan mereka.

Apakah sertifikat x.509 yang diberikan di dalam perusahaan Anda didasarkan pada template yang menentukan TPM KSP?

Jika perusahaan Anda menggunakan TPM KSP, ada kemungkinan bahwa skenario di mana sertifikat yang digunakan rentan terhadap kerentanan yang diidentifikasi dalam penasihat keamanan.


Mitigasi

  1. Sebelum pemutakhiran firmware yang sesuai tersedia untuk perangkat Anda, pembaruan template sertifikat yang diatur untuk menggunakan TPM KSP untuk menggunakan KSP berbasis perangkat lunak. Ini akan mencegah membuat sertifikat mendatang apa pun yang menggunakan TPM KSP dan adalah, oleh karena itu, rentan. Untuk informasi selengkapnya, lihat memperbarui Firmware kemudian di artikel ini.

  2. Untuk membuat sertifikat atau permintaan:

    1. Gunakan skrip tertutup untuk daftar semua sertifikat yang diterbitkan yang bisa rentan.

      1. Mencabut sertifikat ini dengan melewati daftar nomor seri yang Anda peroleh di langkah sebelumnya.

      2. Memaksakan pendaftaran sertifikat baru yang didasarkan pada konfigurasi pola dasar yang sekarang menentukan perangkat lunak KSP.

      3. Jalankan kembali semua skenario yang menggunakan sertifikat baru di mana pun Anda bisa.

    2. Gunakan skrip tertutup untuk daftar semua sertifikat diminta yang bisa rentan:

      1. Menolak permintaan sertifikat ini.

    3. Gunakan skrip tertutup untuk daftar semua sertifikat yang kedaluwarsa. Pastikan bahwa ini adalah tidak dienkripsi sertifikat yang masih digunakan untuk mendekripsi data. Sertifikat yang kedaluwarsa dienkripsi?

      1. Jika ya, pastikan bahwa data didekripsi dan kemudian dienkripsi dengan menggunakan kunci baru yang didasarkan dari sertifikat yang dibuat dengan menggunakan perangkat lunak KSP.

      2. Jika tidak, Anda dapat mengabaikan sertifikat tersebut.

    4. Pastikan bahwa ada proses yang melarang sertifikat dicabut yang sengaja unrevoked oleh administrator.


Pastikan bahwa sertifikat KDC baru memenuhi praktik terbaik

Risiko: Banyak server dapat memenuhi kriteria verifikasi pengontrol Domain dan otentikasi kontroler Domain. Hal ini dapat memperkenalkan vektor serangan terkenal jahat KDC.


Remediasi

Semua pengontrol domain harus mengeluarkan sertifikat yang memiliki IDEKU KDC, seperti disebutkan di [RFC 4556] Bagian 3.2.4. Untuk AD CS, gunakan Templat otentikasi Kerberos, dan mengkonfigurasi untuk menggantikan sertifikat KDC lainnya yang dikeluarkan.

Untuk informasi lebih lanjut, [RFC 4556] Lampiran C menjelaskan Riwayat berbagai KDC sertifikat pola dasar di Windows.

Bila semua pengontrol Domain memiliki sertifikat sesuai RFC KDC, Windows dapat melindungi diri sendiri dengan Mengaktifkan ketat KDC validasi di Windows Kerberos.

Catatan Secara default, Kerberos umum kunci fitur yang lebih baru akan diperlukan.


Pastikan bahwa sertifikat dicabut gagal skenario masing-masing

AD CS digunakan untuk berbagai skenario dalam suatu organisasi. Ini dapat digunakan untuk Wi-Fi, VPN, KDC, manajer konfigurasi pusat sistem, dan sebagainya.

Mengidentifikasi semua skenario di organisasi Anda. Pastikan bahwa skenario berikut ini akan gagal jika mereka memiliki sertifikat dicabut, atau bahwa Anda telah menggantikan semua sertifikat dicabut dengan perangkat lunak yang valid berbasis sertifikat dan skenario berhasil.

Jika Anda menggunakan OCSP atau CRL, update berikut ini akan segera kedaluwarsa. Namun, Anda biasanya ingin memperbarui tembolok CRL pada semua komputer. Jika Anda OCSP bergantung pada CRL, pastikan bahwa memperoleh CRL terbaru segera.

Untuk memastikan bahwa cache akan dihapus, jalankan perintah berikut pada semua komputer yang terpengaruh:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Pemutakhiran firmware

Instal pemutakhiran yang diedarkan oleh OEM untuk memperbaiki kerentanan di TPM. Setelah sistem diperbarui, Anda dapat memperbarui template sertifikat untuk menggunakan KSP berbasis TPM.

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×