Samenvatting
Er bestaat een beveiligingsprobleem in bepaalde Trusted Platform Module (TPM)-chipsets. Het beveiligingslek verzwakt sessiesleutelsterkte.
Voor meer informatie over dit beveiligingsprobleem, gaat u naar ADV170012.
Meer informatie
Overzicht
In de volgende secties helpt u bij het identificeren en verhelpen van Active Directory Certificate Services (AD CS) te verminderen-afgegeven certificaten en verzoeken die zijn getroffen door het beveiligingslek dat wordt beschreven in Microsoft Security Advisory-ADV170012 .
Het proces voor risicobeperking is gericht op het identificeren van de verleende certificaten die worden beïnvloed door het beveiligingslek en is ook gericht op het intrekken van deze.
Zijn de x.509-certificaten die zijn verleend binnen uw onderneming op basis van een sjabloon waarmee KSP TPM?
Als uw onderneming gebruikmaakt van TPM KSP, is het waarschijnlijk dat de scenario's waarin deze certificaten worden gebruikt gevoelig voor dit beveiligingslek geïdentificeerd in het beveiligingsbulletin zijn.
Risicobeperking
-
Certificaatsjablonen die zijn ingesteld om de TPM KSP naar een op software gebaseerde KSP gebruiken totdat een juiste firmware-update beschikbaar voor uw apparaat is, worden bijgewerkt. Hiermee voorkomt u dat alle toekomstige certificaten met TPM KSP en zullen daarom kwetsbaar maken. Zie Firmware bijwerken verderop in dit artikel voor meer informatie.
-
Al gemaakt certificaten of aanvragen:
-
Het ingesloten script gebruikt om de uitgegeven certificaten die kwetsbaar kunnen zijn.
-
Deze certificaten intrekken door de lijst met de seriële getallen die u hebt verkregen in de vorige stap.
-
Inschrijven van nieuwe certificaten op basis van de sjabloonconfiguratie waarmee nu software KSP afdwingen.
-
De scenario's met behulp van de nieuwe certificaten waar u kunt uitvoeren.
-
-
Het ingesloten script gebruiken om de aangevraagde certificaten die kwetsbaar kunnen zijn:
-
Alle certificaataanvragen afwijzen.
-
-
Het ingesloten script gebruikt om verlopen certificaten. Zorg ervoor dat deze zijn niet gecodeerde certificaten die nog steeds worden gebruikt om gegevens te decoderen. Verlopen certificaten gecodeerd?
-
Als u Ja kiest, zorg ervoor dat de gegevens worden gedecodeerd en wordt gecodeerd met behulp van een nieuwe sleutel die is gebaseerd op een certificaat dat is gemaakt met behulp van software KSP.
-
Zo Nee, kunt u de certificaten gewoon negeren.
-
-
Controleer of er is een proces dat verbiedt deze ingetrokken certificaten wordt per ongeluk intrekken ongedaan gemaakt door de beheerder.
-
Nieuw KDC-certificaten voldoen aan de actuele beste praktijken
Risico: Veel andere servers kunnen voldoen aan de domeincontroller en het Domeincontrollerverificatie verificatie. Dit kan leiden tot bekende rogue KDC aanvalsvectoren.
Herstel
Alle domeincontrollers moeten worden afgegeven certificaten met de KDC EKU, zoals aangegeven in [RFC 4556] punt 3.2.4. Voor AD CS, de sjabloon Kerberos-verificatie gebruiken en configureren voor het vervangt geen andere KDC-certificaten die zijn verleend.
Voor meer informatie legt [RFC 4556] bijlage C uit de geschiedenis van de verschillende sjablonen KDC-certificaat in Windows.
Als alle domeincontrollers hebben de RFC-compatibele KDC-certificaten, kunt Windows zelf beveiligen door Validatie van strikte KDC in Windows Kerberos inschakelen.
Opmerking Standaard zijn nieuwere Kerberos openbare sleutel-functies vereist.
Zorg ervoor dat de respectieve scenario mislukt de ingetrokken certificaten
AD CS wordt gebruikt voor verschillende scenario's in een organisatie. Het kan worden gebruikt voor Wi-Fi, VPN, KDC, System Center Configuration Manager, enzovoort.
Alle scenario's in uw organisatie identificeren. Zorg ervoor dat deze scenario's niet als ze ingetrokken certificaten hebben of certificaten op basis van de ingetrokken certificaten met geldige software is vervangen en dat de scenario's geslaagd zijn.
Als u OCSP of CRL's gebruikt, wordt deze bijgewerkt zodra zij verlopen. U kunt meestal voor het bijwerken van de CRL in de cache op alle computers. Als uw OCSP voor CRL's, moet u ervoor zorgen dat deze verkrijgt de meest recente CRL's onmiddellijk.
Om ervoor te zorgen dat de cache worden verwijderd, de volgende opdrachten worden uitgevoerd op alle betrokken computers:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
Firmware-update
Installeer de update die is uitgebracht door de OEM voor het oplossen van het beveiligingslek in de TPM. Nadat het systeem is bijgewerkt, kunt u de certificaatsjablonen voor het gebruik van de TPM gebaseerde KSP bijwerken.