Riepilogo
Esiste una vulnerabilità di sicurezza in alcuni chipset Trusted Platform Module (TPM). La vulnerabilità indebolisce la forza chiave. Per ulteriori informazioni sulla vulnerabilità, visitare ADV170012.
Ulteriori informazioni
Panoramica
Le sezioni seguenti consentono di identificare e risolvere i problemi nei domini e nei controller di dominio di Active Directory (AD) interessati dalla vulnerabilità descritta in Microsoft Security Advisory ADV170012.
Questo processo di attenuazione si concentra sul seguente scenario di chiave pubblica di Active Directory:
-
Chiavi delle credenziali del computer appartenenti al dominio
Per informazioni sulla revoca e l'emissione di nuovi certificati KDC, vedere Mitigation Plan for Active Directory Certificate Services-based scenarios.
Determinazione del flusso di lavoro delle chiavi delle credenziali del computer aggiunto al dominioDetermining domain-joined computer key risk workflow
Si dispone di controller di dominio Windows Server 2016 (o versione successiva)?
Le chiavi delle credenziali sono state introdotte per i controller di dominio di Windows Server 2016.Credential keys were introduced for Windows Server 2016 domain controllers. Controller di dominio aggiungere il SID noto KEY_TRUST_IDENTITY (S-1-18-4) quando una chiave di credenziali viene utilizzata per l'autenticazione. I controller di dominio precedenti non supportano le chiavi delle credenziali, pertanto Active Directory non supporta gli oggetti chiave delle credenziali e i controller di dominio di livello inferiore non possono autenticare le entità utilizzando le chiavi delle credenziali.
In precedenza, l'attributo altSecurityIdentities (spesso denominato altSecID) poteva essere utilizzato per fornire un comportamento simile. Il provisioning altSsecID non è supportato in modo nativo da Windows. Pertanto, è necessaria una soluzione di terze parti che fornisce questo comportamento. Se la chiave di cui è stato eseguito il provisioning è vulnerabile, l'altSsecID corrispondente deve essere aggiornato in Active Directory.
Sono domini Windows Server 2016 (o versione successiva) DFL?
I controller di dominio di Windows Server 2016 supportano la crittografia a chiave pubblica per l'autenticazione iniziale in Kerberos (PKINIT) Freshness Extension [RFC 8070], anche se non per impostazione predefinita. Quando ilsupporto per l'estensione di aggiornamento PKInit è abilitato nei controller di dominio in Windows Server 2016 DFL o domini successivi, i controller di dominio aggiungono il SID noto FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) quando l'estensione è correttamente Utilizzato. Per ulteriori informazioni, vedere Supporto del client Kerberos e KDC per l'estensione di aggiornamento PKInit RFC 8070.
Applicazione di patch ai computer
La manutenzione dei computer Windows 10 con gli aggiornamenti della sicurezza di ottobre 2017 rimuoverà la chiave delle credenziali TPM esistente. Windows eseguirà il provisioning solo delle chiavi protette da Credential Guard per garantire la protezione Pass-the-Ticket per le chiavi del dispositivo aggiunto al dominio. Poiché molti clienti aggiungono bene Credential Guard dopo l'aggiunta a un dominio nei propri computer, questa modifica garantisce che i dispositivi in cui è abilitata La Protezione credenziali possano garantire che tutti i TCT emessi utilizzando la chiave delle credenziali siano protetti da Credential Guard.
