Santrauka
Saugos pažeidžiamumas yra tam tikrų patikimos platformos modulis (TPM) lustų. Pažeidžiamumas silpnina pagrindinė jėga.ADV170012.
Norėdami daugiau sužinoti apie šį pažeidžiamumą, eikite įDaugiau informacijos
Apžvalga
Tolesniuose skyriuose padės jums nustatyti, sumažinti ir ištaisyti Active Directory sertifikavimo tarnyba (AD CS)-sertifikatai ir užklausas, kuri buvo paveikta pažeidžiamumas, kuris yra nurodytas Microsoft saugos patarimą ADV170012 .
Mažinimo proceso dėmesys nustatymo išduoti sertifikatus, kurie turi įtakos pažeidžiamumas, ir taip pat kalbama apie jas panaikinti.
Ar x.509 sertifikatai, kurie išleidžiami viduje jūsų įmonės šabloną, nurodantis TPM KSP?
Jei jūsų įmonė naudoja TPM KSP, tikėtina, kad scenarijai, kai naudojamos tokių sertifikatų neapsaugoti pažeidžiamumas, nurodytiems šiame saugos patarime.
Mažinimas
-
Kol atitinkamus programinės-aparatinės įrangos naujinimas yra įrenginio, atnaujinti sertifikatų šablonus, kurie yra nustatyti naudoti TPM KSP naudoti programinės įrangos KSP. Tai padės išvengti, sukurti jokių ateityje sertifikatus, kurie naudoja TPM KSP ir yra, todėl grėsmė. Jei norite gauti daugiau informacijos, peržiūrėkite programinės-aparatinės įrangos naujinimo šiame straipsnyje.
-
Dėl jau sukurtas sertifikatai arba užklausas:
-
Naudokite pateikta scenarijų, kad išduoti sertifikatus, kurie gali būti pažeidžiami.
-
Atšaukti sertifikatas pereinant į sąrašą, galite gauti ankstesnį veiksmą.
-
Vykdyti naują sertifikatų šablonas konfigūraciją, kuri dabar nurodo programinės įrangos KSP pagal registracijos.
-
Naudojant naują sertifikatus, kur jūs galite iš naujo paleiskite visais atvejais.
-
-
Naudokite pateikta scenarijų, kad visos pageidaujamos sertifikatus, kurie gali kelti:
-
Atmesti visus šiuos sertifikato užklausas.
-
-
Naudokite pateikta scenarijų, kad visi Negaliojantys sertifikatai. Įsitikinkite, kad tai nėra užšifruotas sertifikatus, kurie vis dar naudojami iššifruoti duomenis. Negaliojantys sertifikatai užšifruotos?
-
Jei taip, įsitikinkite, kad duomenys yra iššifruoti ir tada užšifruoto naudojant naują raktą, kuris priklauso nuo sertifikatą, kuris yra sukurtas naudojant programinės įrangos KSP.
-
Jei ne, galite nepaisyti sertifikatų.
-
-
Patikrinkite, ar yra procesas, kuris yra atsitiktinai unrevoked administratorius draudžiama šiuos atšauktųjų sertifikatų.
-
Įsitikinkite, kad naują KDC sertifikatai atitinka dabartinį Geriausios praktikos
Rizikos: Daug kitų serverių gali atitikti domeno valdiklio ir domeno valdiklio autentifikavimo patvirtinimo kriterijus. Tai gali nustatyti žinomų kenksminga KDC atakos vektorių.
Atnaujinimo
Visi domeno valdikliai turi išduoti sertifikatus, kurie turi KDC cihan, kaip nurodyta [RFC 4556] dalyje 3.2.4. AD CS, naudoti Kerberos autentifikavimo šabloną ir sukonfigūruoti, kad būtų pakeisti kitų KDC sertifikatus, kurie buvo išleisti.
Jei norite gauti daugiau informacijos, [RFC 4556] priedas C paaiškina įvairius KDC sertifikatų šablonus, sistemoje "Windows" istorija.
Kai visi domeno valdikliai turi RFC suderinamas KDC sertifikatai, "Windows" galite apsaugoti, Kad griežto KDC tikrinimo sistemoje "Windows" Kerberos.
Pastaba. Pagal numatytuosius nustatymus reikės naujesni Kerberos viešojo rakto funkcijos.
Įsitikinkite, kad atšauktųjų sertifikatų nepavyksta atitinkamų scenarijus
AD CS naudojamas įvairiose situacijose organizacijos. Ji gali būti naudojama Wi-Fi, VPN, KDC, System Center Configuration Manager ir t. t.
Patikrinkite, ar visais atvejais jūsų organizacijoje. Įsitikinkite, kad, toliau nurodytais atvejais nepavyksta, jei jie turi atšauktųjų sertifikatų arba netinkamas programinės įrangos pakeitė visus atšauktųjų sertifikatų pagal sertifikatai ir scenarijus yra sėkmingas.
Jei naudojate OCSP arba CRL, jie bus atnaujinti, kai baigsis. Tačiau paprastai norite atnaujinti talpyklos CRL visuose kompiuteriuose. Jei jūsų OCSP priklauso CRL, įsitikinkite, kad jis gauna naujausią CRL iš karto.
Įsitikinkite, kad talpyklos panaikinami, vykdykite toliau nurodytas komandas pažeistą kompiuteriuose.
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
Programinės-aparatinės įrangos naujinimas
Įdiekite naujinimą, yra išleistas OEM spręsti pažeidžiamumo TPM. po to, kai sistema yra atnaujinta, galite atnaujinti naudoti KSP TPM pagrįstą sertifikatų šablonus.