Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Riepilogo

Una vulnerabilità di protezione di determinati chipset Trusted Platform Module (TPM). La vulnerabilità indebolisce forza della chiave.

Per ulteriori informazioni su questa vulnerabilità, visitare ADV170012.

Ulteriori informazioni

Cenni preliminari

Nelle sezioni seguenti consentono di identificare, ridurre e risolvere i servizi certificati Active Directory (AD CS)-emessi i certificati e le richieste che sono interessate dalla vulnerabilità identificata nel Microsoft Security Advisory ADV170012 .

Il processo di riduzione dei rischi si concentra sull'identificazione di certificati che sono interessati da questa vulnerabilità e inoltre si concentra la loro revoca.

Sono i certificati x. 509 emessi all'interno dell'azienda basato su un modello che specifica il KSP TPM?

Se l'organizzazione utilizza KSP TPM, è probabile che gli scenari in cui vengono utilizzati questi certificati sono sensibili per la vulnerabilità identificata nell'advisory sulla sicurezza.


Riduzione dei rischi

  1. Fino a quando un aggiornamento del firmware appropriato è disponibile per il dispositivo, aggiornare i modelli di certificato vengono impostati per utilizzare KSP TPM per utilizzare un KSP basate sul software. Ciò impedirà la creazione di eventuali futuri i certificati che utilizzano KSP TPM e sono, pertanto vulnerabile. Per ulteriori informazioni, vedere aggiornamento di Firmware più avanti in questo articolo.

  2. Per già creati i certificati o richieste:

    1. Utilizzare lo script incluso per elencare tutti i certificati emessi che potrebbero essere esposti.

      1. Revocare i certificati passando l'elenco dei numeri seriali che è stato ottenuto nel passaggio precedente.

      2. Attivare la registrazione di nuovi certificati in base alla configurazione del modello che specifica ora software KSP.

      3. Eseguire di nuovo tutti gli scenari utilizzando i nuovi certificati ovunque possibile.

    2. Per elencare tutti i certificati richiesti che potrebbero essere esposti, utilizzare lo script incluso:

      1. Rifiutare tutte le richieste di certificati.

    3. Utilizzare lo script incluso per elencare tutti i certificati scaduti. Assicurarsi che queste non sono crittografati certificati che verranno utilizzati per decrittografare i dati. I certificati scaduti vengono crittografati?

      1. In caso affermativo, verificare che i dati vengono decrittografati e quindi crittografati utilizzando una nuova chiave che si basa un certificato che viene creato utilizzando software KSP.

      2. Se non è possibile ignorare i certificati.

    4. Assicurarsi che vi sia un processo che impedisce a tali certificati revocati viene accidentalmente è hanno annullato la revoca dall'amministratore.


Verificare che i nuovi certificati KDC soddisfino migliori prassi attuali

Rischio: Molti altri server che soddisfano i criteri di verifica autenticazione Controller di dominio e di Controller di dominio. Questa operazione può comportare vettori di attacco noti rogue KDC.


Monitoraggio e aggiornamento

Tutti i controller di dominio devono essere rilasciati i certificati che presentano l'EKU KDC, come specificato nella [RFC 4556] sezione 3.2.4. Per Servizi certificati Active Directory, utilizzare il modello di autenticazione Kerberos e configurarlo per sostituire tutti gli altri certificati KDC che sono stati rilasciati.

Per ulteriori informazioni, [RFC 4556] appendice C illustra la cronologia dei vari modelli di certificato KDC in Windows.

Quando tutti i controller di dominio dispone di certificati KDC compatibili con RFC, è possibile proteggere Windows stesso mediante l' Attivazione Strict KDC convalida in Kerberos di Windows.

Nota: Per impostazione predefinita, saranno necessarie nuove funzioni chiave pubbliche Kerberos.


Assicurarsi che i certificati revocati non lo scenario corrispondente

Servizi certificati Active Directory viene utilizzato per i diversi scenari in un'organizzazione. Essa potrebbe essere utilizzata per Wi-Fi, VPN, KDC, System Center Configuration Manager e così via.

Identificare tutti gli scenari dell'organizzazione. Assicurarsi che questi scenari non riuscirà se dispongono di certificati revocati o che sono stati sostituiti tutti i certificati revocati con software valido basato su certificati e che gli scenari hanno esito positivo.

Se si utilizza OCSP o CRL, questi verranno aggiornati appena scadono. Tuttavia, in genere si desidera aggiornare il CRL memorizzato nella cache su tutti i computer. L'OCSP si basa su CRL, assicurarsi che ottengano immediatamente i CRL più recenti.

Per assicurarsi che le cache vengono eliminate, eseguire i seguenti comandi su tutti i computer interessati:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Aggiornamento del firmware

Installare l'aggiornamento rilasciato dall'OEM per correggere la vulnerabilità del TPM. Dopo l'aggiornamento del sistema, è possibile aggiornare i modelli di certificato per l'utilizzo di KSP basata su TPM.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×