概要
特定のトラステッド プラットフォーム モジュール (TPM) チップセットにセキュリティ上の脆弱性が存在します。 この脆弱性は、キーの強さを弱化します。マイクロソフト セキュリティ アドバイザリ ADV170012 を参照してください。
この脆弱性の詳細については、詳細情報
概要
次のセクションは、マイクロソフト セキュリティ アドバイザリ ADV170012 で確認されている脆弱性の影響を受けた Active Directory 認証サービス (AD CS) が発行した証明書や要求の問題の識別、軽減および修復に役立ちます。
このリスク軽減処理は、脆弱性の影響を受けた発行済み証明書の識別に焦点を置いています。また、これらの証明書の失効にも焦点を置いています。
企業内で発行された x.509 認証は、TPM KSP を指定するテンプレートに基づいていますか?
企業が TPM KSP を使用している場合、これらの証明書が使用されているシナリオは、セキュリティ アドバイザリーで確認されている脆弱性の影響を受けやすい可能性が高いです。
軽減策
-
お使いのデバイスに適したファームウェアの更新プログラムがリリースされるまでは、ソフトウェア ベースの KSP を使用するために TPM KSP を使用するよう設定されている認証テンプレートを更新してください。 これによって、TPM KSP を使用するがゆえに脆弱な証明書が今後作成されなくなります。 詳細については、この資料で後述する「ファームウェア更新プログラム」を参照してください。
-
既に作成済みの証明書または要求の場合:
-
囲み文字を使用して、影響を受けやすいすべての発行済みの証明書の一覧を表示します。
-
前の手順で取得したシリアル番号の一覧を受け渡して、これらの証明書を失効させます。
-
ソフトウェアの KSP を現在指定しているテンプレート構成に基づいて、新しい証明書の登録を強制します。
-
できる限りすべての場所で新しい証明書を使用して、すべてのシナリオを戻します。
-
-
囲み文字を使用して、影響を受けやすいすべての要求済み証明書の一覧を表示します。
-
これらすべての証明書要求を却下します。
-
-
囲み文字を使用して、影響を受けやすいすべての期限切れの証明書の一覧を表示します。 これらが、データを複合化するために今でもまだ使用されている暗号化された証明書ではないことを確認します。 期限切れの証明書ですか?
-
期限切れの証明書の場合は、ソフトウェアの KSP を使用して作成された証明書に基づく新しいキーでデータが複合化された後、暗号化されていることを確認します。
-
期限切れの証明書ではない場合は、問題なく証明書を無視できます。
-
-
管理者がこれらの失効済みの証明書を誤って失効取り消しすることを禁止するプロセスがあることを確認します。
-
新しい KDC 証明書が現在のベスト プラクティスを満たしていることを確認します。
リスク: その他の多くのサーバーが、ドメイン コントローラーおよびドメイン コントローラー認証の検証条件を満たしている可能性があります。 これによって、よく知られた不正の KDC 攻撃ベクトルが発生する可能性があります。
修復
[RFC 4556] セクション 3.2.4 に説明するとおり、KDC EKU を持つ証明書をすべてのドメイン コントローラーに発行する必要があります。 AD CS の場合、Kerberos 認証テンプレートを使用して、その他すべての発行済みの KDC 証明書を置き換えるように設定します。
詳細については、 [RFC 4556] 付録 C にて Windows のさまざまな KDC 証明書テンプレートの履歴について説明しています。
すべてのドメイン コントローラーが RFC 準拠の KDC 証明書を持っている場合は、Windows Kerberos で KDC の厳密な検証を有効にすることで、Windows は自身を保護できます。
注: 既定では、より新しい Kerberos 公開キーの機能が必要です。
失効済みの証明書によって、それぞれのシナリオが失敗することを確認します。
AD CS は組織内のさまざまなシナリオに使用されています。 Wi-Fi、VPN、KDC、System Center Configuration Manager などに使用されている可能性があります。
組織内のすべてのシナリオを特定します。 失効済みの証明書があるとこれらのシナリオが失敗すること、または、すべての失効済みの証明書を有効なソフトウェア ベースの証明書に置き換え済みであること、およびシナリオが成功していることを確認します。
OCSP または CRLS を使用している場合は、これらは有効期限切れになるとすぐに更新されます。 ただし、通常はすべてのコンピューター上のキャッシュされた CRL を更新したいと考えます。 OCSP が CRL を使用している場合は、OCSP が 最新の CRL を今すぐ取得することを確認します。
キャッシュが削除されていることを確認するには、すべての影響を受けるコンピューター上で次のコマンドを実行します。
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
ファームウェア更新プログラム
TPM の脆弱性を修正するには、OEM がリリースする更新プログラムをインストールします。システムが更新された後、TPM ベースの KSP を使用するために証明書テンプレートを更新できます。