Sammendrag

Det finnes et sikkerhetsproblem i bestemte brikkesett for klarert plattformmodul (TPM). Sikkerhetsproblemet svekker nøkkelstyrke.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du gå til ADV170012.

Hvis du vil ha mer informasjon

Oversikt over

Avsnittene nedenfor vil hjelpe deg med å identifisere, redusere og rette på Active Directory-sertifikattjenester (AD CS)-utstedte sertifikater og forespørsler som ble berørt av sikkerhetsproblemet som er identifisert i Microsoft Security Advisory ADV170012 .

Reduksjonen prosessen fokuserer på å identifisere utstedte sertifikater som berøres av sikkerhetsproblemet, og også fokuserer på opphever dem.

Er x.509-sertifikater som er utstedt i bedriften som er basert på en mal som angir TPM KSP?

Hvis organisasjonen bruker TPM KSP, er det sannsynlig at scenarier der disse sertifikatene som brukes er utsatt for sikkerhetsproblemet som er identifisert i sikkerhetsveiledningen.


Skadereduksjon

  1. Til en passende fastvareoppdatering er tilgjengelig for enheten, kan du oppdatere sertifikatmalene som er angitt til å bruke TPM KSP du bruker en programvarebasert KSP. Dette vil hindre oppretting av eventuelle fremtidige sertifikater som bruker TPM KSP og kan derfor sårbare. Hvis du vil ha mer informasjon, kan du se oppdatere fastvaren senere i denne artikkelen.

  2. Hvis du allerede har opprettet sertifikater eller forespørsler:

    1. Bruk innkapslet skriptet til å vise alle utstedte sertifikater som kan være sårbare.

      1. Trekke tilbake disse sertifikatene ved å sende listen med serienumre som du fikk i forrige trinn.

      2. Fremtvinge registrering av nye sertifikater basert på malkonfigurasjonen som angir programvare KSP nå.

      3. Kjør alle scenarier ved hjelp av de nye sertifikatene, uansett hvor du kan.

    2. Bruk innkapslet skriptet til å vise alle de forespurte sertifikatene som kan være sårbare:

      1. Forkast alle disse sertifikatforespørsler.

    3. Bruke skriptet vedlagte liste over alle utløpte attester. Kontroller at dette ikke er kryptert sertifikater som fortsatt brukes til å dekryptere dataene. Krypteres utløpte sertifikater?

      1. Hvis Ja, kontroller at dataene er dekryptert og deretter kryptert ved hjelp av en ny nøkkel som er basert på et sertifikat som er opprettet ved hjelp av programvare KSP.

      2. Hvis Nei, du kan trygt ignorere sertifikatene.

    4. Kontroller at det er en prosess som forbyr disse tilbakekalte sertifikater fra ved et uhell blir unrevoked av administratoren.


Kontroller at nye KDC-sertifikater oppfylle gjeldende anbefalte fremgangsmåter

Risiko: Mange servere kan oppfyller kriteriene for bekreftelse for domenekontroller og godkjenning av domenekontroller. Dette kan føre til velkjente Søk KDC angrepsvektorer.


Utbedring

Alle domenekontrollere skal utstedes sertifikater som har den KDC EKU som angitt i [RFC 4556] delen 3.2.4. Bruk malen Kerberos-godkjenning for AD CS, og konfigurere den slik at den erstatter alle andre KDC-sertifikater som ble utstedt.

Hvis du vil ha mer informasjon forklarer [RFC 4556] tillegg C historikken for av ulike maler for KDC-sertifikatet i Windows.

Når alle domenekontrollerne har RFC-kompatible KDC-sertifikater, kan Windows beskytte ved å aktivere strenge KDC-validering i Windows Kerberos.

Obs!  Nyere Kerberos offentlige viktige funksjoner vil være nødvendig som standard.


Kontroller at tilbakekalte sertifikater mislykkes på respektive scenario

AD CS brukes for ulike scenarier i en organisasjon. Den kan brukes for Wi-Fi, VPN, KDC, System Center Configuration Manager og så videre.

Identifisere alle scenarier i organisasjonen. Kontroller at disse scenariene vil mislykkes hvis de har de tilbakekalte sertifikatene, eller at du har erstattet de tilbakekalte sertifikatene med gyldig programvare basert sertifikater og at scenariene er vellykket.

Hvis du bruker OCSP eller CRLER, oppdaterer disse så snart de utløper. Imidlertid vil du vanligvis oppdatere de hurtigbufrede CRLer på alle datamaskiner. Hvis din OCSP avhengig av CRLer, må du kontrollere at den henter de nyeste opphevelseslister umiddelbart.

Hvis du vil forsikre deg om at hurtigbufferne er slettet, kan du kjøre følgende kommandoer på alle berørte datamaskiner:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Oppdatering av fastvaren

Installere oppdateringen som er utgitt av OEM for å løse sikkerhetsproblemet i TPMEN. etter at systemet er oppdatert, kan du oppdatere sertifikatmalene for å bruke TPM-baserte KSP.

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×