Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Santrauka

Saugos pažeidžiamumas yra tam tikrų patikimos platformos modulis (TPM) lustų. Pažeidžiamumas silpnina pagrindinė jėga.Norėdami daugiau sužinoti apie šį pažeidžiamumą, eikite į ADV170012.

Daugiau informacijos

Apžvalga

Tolesniuose skyriuose padės jums nustatyti, sumažinti ir ištaisyti Active Directory sertifikavimo tarnyba (AD CS)-sertifikatai ir užklausas, kuri buvo paveikta pažeidžiamumas, kuris yra nurodytas Microsoft saugos patarimą ADV170012 .

Mažinimo proceso dėmesys nustatymo išduoti sertifikatus, kurie turi įtakos pažeidžiamumas, ir taip pat kalbama apie jas panaikinti.

Ar x.509 sertifikatai, kurie išleidžiami viduje jūsų įmonės šabloną, nurodantis TPM KSP?

Jei jūsų įmonė naudoja TPM KSP, tikėtina, kad scenarijai, kai naudojamos tokių sertifikatų neapsaugoti pažeidžiamumas, nurodytiems šiame saugos patarime.

Mažinimas

  1. Kol atitinkamus programinės-aparatinės įrangos naujinimas yra įrenginio, atnaujinti sertifikatų šablonus, kurie yra nustatyti naudoti TPM KSP naudoti programinės įrangos KSP. Tai padės išvengti, sukurti jokių ateityje sertifikatus, kurie naudoja TPM KSP ir yra, todėl grėsmė. Jei norite gauti daugiau informacijos, peržiūrėkite programinės-aparatinės įrangos naujinimo šiame straipsnyje.

  2. Dėl jau sukurtas sertifikatai arba užklausas:

    1. Naudokite pateikta scenarijų, kad išduoti sertifikatus, kurie gali būti pažeidžiami.

      1. Atšaukti sertifikatas pereinant į sąrašą, galite gauti ankstesnį veiksmą.

      2. Vykdyti naują sertifikatų šablonas konfigūraciją, kuri dabar nurodo programinės įrangos KSP pagal registracijos.

      3. Naudojant naują sertifikatus, kur jūs galite iš naujo paleiskite visais atvejais.

    2. Naudokite pateikta scenarijų, kad visos pageidaujamos sertifikatus, kurie gali kelti:

      1. Atmesti visus šiuos sertifikato užklausas.

    3. Naudokite pateikta scenarijų, kad visi Negaliojantys sertifikatai. Įsitikinkite, kad tai nėra užšifruotas sertifikatus, kurie vis dar naudojami iššifruoti duomenis. Negaliojantys sertifikatai užšifruotos?

      1. Jei taip, įsitikinkite, kad duomenys yra iššifruoti ir tada užšifruoto naudojant naują raktą, kuris priklauso nuo sertifikatą, kuris yra sukurtas naudojant programinės įrangos KSP.

      2. Jei ne, galite nepaisyti sertifikatų.

    4. Patikrinkite, ar yra procesas, kuris yra atsitiktinai unrevoked administratorius draudžiama šiuos atšauktųjų sertifikatų.

Įsitikinkite, kad naują KDC sertifikatai atitinka dabartinį Geriausios praktikos

Rizikos: Daug kitų serverių gali atitikti domeno valdiklio ir domeno valdiklio autentifikavimo patvirtinimo kriterijus. Tai gali nustatyti žinomų kenksminga KDC atakos vektorių.

Atnaujinimo

Visi domeno valdikliai turi išduoti sertifikatus, kurie turi KDC cihan, kaip nurodyta [RFC 4556] dalyje 3.2.4. AD CS, naudoti Kerberos autentifikavimo šabloną ir sukonfigūruoti, kad būtų pakeisti kitų KDC sertifikatus, kurie buvo išleisti.

Jei norite gauti daugiau informacijos, [RFC 4556] priedas C paaiškina įvairius KDC sertifikatų šablonus, sistemoje "Windows" istorija.

Kai visi domeno valdikliai turi RFC suderinamas KDC sertifikatai, "Windows" galite apsaugoti, Kad griežto KDC tikrinimo sistemoje "Windows" Kerberos.

Pastaba. Pagal numatytuosius nustatymus reikės naujesni Kerberos viešojo rakto funkcijos.

Įsitikinkite, kad atšauktųjų sertifikatų nepavyksta atitinkamų scenarijus

AD CS naudojamas įvairiose situacijose organizacijos. Ji gali būti naudojama Wi-Fi, VPN, KDC, System Center Configuration Manager ir t. t.

Patikrinkite, ar visais atvejais jūsų organizacijoje. Įsitikinkite, kad, toliau nurodytais atvejais nepavyksta, jei jie turi atšauktųjų sertifikatų arba netinkamas programinės įrangos pakeitė visus atšauktųjų sertifikatų pagal sertifikatai ir scenarijus yra sėkmingas.

Jei naudojate OCSP arba CRL, jie bus atnaujinti, kai baigsis. Tačiau paprastai norite atnaujinti talpyklos CRL visuose kompiuteriuose. Jei jūsų OCSP priklauso CRL, įsitikinkite, kad jis gauna naujausią CRL iš karto.

Įsitikinkite, kad talpyklos panaikinami, vykdykite toliau nurodytas komandas pažeistą kompiuteriuose.

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now

Programinės-aparatinės įrangos naujinimas

Įdiekite naujinimą, yra išleistas OEM spręsti pažeidžiamumo TPM. po to, kai sistema yra atnaujinta, galite atnaujinti naudoti KSP TPM pagrįstą sertifikatų šablonus.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.