Kopsavilkums
Drošības ievainojamība noteiktu uzticamā platformas moduļa (TPM) mikrokopumi. Neaizsargātība vājina galveno spēku. Lai iegūtu papildinformāciju par drošības problēmu, dodieties uz biļetenā adv170012.
Papildinformācija
Pārskats
Turpmākajās sadaļās palīdzēs noteikt un labot problēmas Active Directory (AD) domēnu un domēnu kontrolleri, ko ietekmē ievainojamība, kas aprakstīta Microsoft drošības BIĻETENĀ biļetenā adv170012.
Šis samazināšanas process koncentrējas uz šādu Active Directory publiskās atslēgas scenārijs:
-
Domēnā savienotos datora akreditācijas datu atslēgas
Papildinformāciju par atcelšanu un jaunu KDC sertifikātu izdošanu skatiet samazināšanas plāns Active Directory sertifikātu pakalpojumu sistēma scenārijiem.
Noteikt domēnā savienotos datora akreditācijas datu galveno risku darbplūsma
Vai jums ir Windows Server 2016 (vai jaunāku) domēna kontrolleri?
Akreditācijas datu atslēgas tika ieviesti Windows Server 2016 domēna kontrolleriem. Domēna kontrolleri pievienot labi zināms SID KEY_TRUST_IDENTITY (S-1-18-4), kad akreditācijas datu atslēgu izmanto, lai autentificētu. Vecākas domēna kontrolleri neatbalsta akreditācijas datu atslēgas, tāpēc reklāmas neatbalsta akreditācijas datu atslēgu objekti un līmeņa domēna kontrolleri nevar autentificēt princibiem, izmantojot akreditācijas datu atslēgas.
Iepriekš atribūtu Altsecurityidentitātēm (bieži saukts par altsecid) var izmantot, lai nodrošinātu līdzīgu uzvedību. Nodrošinājums Altssecid netiek atbalstīts natively ar Windows. Tādēļ jums būtu nepieciešams trešās puses risinājumu, kas nodrošina šo darbību. Ja atslēga, kas ir nodrošināta ir neaizsargāti, atbilstošo altSsecID būtu jāatjaunina AD.
Vai visi domēni Windows Server 2016 (vai jaunāku) DFL?
Windows Server 2016 domēnu kontrolleri atbalsta publiskās atslēgas šifrēšana sākotnējai autentifikācijai Kerberos (PKINIT) svaiguma paplašinājums [RFC 8070], lai gan ne pēc noklusējuma. Kadatbalsts PKInit svaiguma paplašinājums ir iespējots domēna kontrolleros sistēmā Windows Server 2016 DFL vai jaunāku domēnu, domēna KONTROLLERI pievienot labi zināms SID FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3), paplašinājums ir veiksmīgi Izmantot. Lai iegūtu papildinformāciju, skatiet Kerberos klienta un KDC atbalsts RFC 8070 PKInit svaiguma paplašinājums.
Notiek datoru ielāpošana
Apkalpo Windows 10 datoriem, kuros ir oktobris 2017 drošības atjauninājumus noņems esošo TPM akreditācijas datu atslēgu. Windows tikai nodrošināšana akreditācijas aizsargs aizsargātas atslēgas nodrošināt pass-The-biļešu aizsardzību domēnā savienotos ierīces taustiņus. Tāpēc, ka daudzi klienti pievieno akreditācijas aizsargs arī pēc domēna savieno datoru, šīs izmaiņas nodrošina ierīces, kas ir iespējota akreditācijas aizsargs var nodrošināt visas TGT, izmantojot akreditācijas datu atslēgu aizsargā akreditācijas aizsargs.
