Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Samenvatting

Er bestaat een beveiligingsprobleem in bepaalde TPM-chipsets (Trusted Platform Module). Het beveiligingslek verzwakt de sleutelsterkte. Voor meer informatie over het beveiligingsprobleem, gaat u naar ADV170012.

Meer informatie

Overzicht

De volgende secties helpen u bij het opsporen en verhelpen van problemen in Active Directory (AD)-domeinen en domeincontrollers die worden getroffen door het beveiligingslek dat wordt beschreven in Microsoft-beveiligingsadvies ADV170012.

Dit beperkings proces is gericht op de volgende openbare-sleutel scenario voor Active Directory:

  • Referentiesleutels voor computers die lid zijn van een domein

Zie voor meer informatie over het intrekken en uitgeven van nieuwe KDC -certificaten mitigatie plan voor Active Directory Certificate Services-scenario's.

Het bepalen van een domein computer Credential Key Risk workflow

Bepaling van de computer deel uitmaakt van een domein referentie belangrijke risico-werkstroom

Hebt u Windows Server 2016 (of hoger) domeincontrollers?

Referentiesleutels zijn geïntroduceerd voor Windows Server 2016-domeincontrollers. Domeincontrollers toevoegen de bekende SID KEY_TRUST_IDENTITY (S-1-18-4) wanneer een referentiesleutel wordt gebruikt voor verificatie. Eerdere domeincontrollers niet ondersteuning voor referentiesleutels, zodat de AD biedt geen ondersteuning voor referentie-sleutel objecten en downlevel domeincontrollers kunnen geen principals verifiëren met behulp van referentiesleutels.

Voorheen kon het kenmerk Altsecurityidentities (vaak aangeduid als altsecid) worden gebruikt om soortgelijk gedrag te bieden. Het inrichten van Altssecid wordt niet ondersteund door Windows. Daarom moet u een oplossing van derden die dit gedrag biedt. Als de sleutel die is ingericht kwetsbaar is, moet de bijbehorende altSsecID worden bijgewerkt in AD.

Zijn er domeinen Windows Server 2016 (of hoger) DFL?

Windows Server 2016-domeincontrollers ondersteuning voor cryptografie met openbare sleutel voor initiële verificatie in Kerberos (PKINIT) actualiteit extensie [RFC 8070], hoewel niet standaard. Wanneerondersteuning voor PKInit actualiteit uitbreiding is ingeschakeld op domeincontrollers in Windows Server 2016 DFL of hoger domeinen, de domeincontrollers toevoegen de bekende sid FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) wanneer de extensie met succes is Gebruikt. Zie voor meer informatie, Kerberos-client en KDC-ondersteuning voor RFC 8070 PKInit actualiteit extensie.

Patches van computers

Onderhoud van Windows 10-computers met de beveiligingsupdates van oktober 2017 wordt de bestaande TPM-referentiesleutel verwijderen. Windows wordt alleen inrichten Credential Guard beveiligde sleutels om te controleren of pass-the-ticket-beveiliging voor apparaatsleutels van het domein is gekoppeld. Omdat veel klanten Credential Guard goed toevoegen na het domein lid zijn van hun computers, deze wijziging zorgt ervoor dat apparaten met Credential Guard ingeschakeld kunnen ervoor zorgen dat alle Tgt's die zijn uitgegeven met behulp van de referentiesleutel worden beveiligd door Credential Guard.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×