Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Samenvatting

Er bestaat een beveiligingsprobleem in bepaalde Trusted Platform Module (TPM)-chipsets. Het beveiligingslek verzwakt sessiesleutelsterkte.

Voor meer informatie over dit beveiligingsprobleem, gaat u naar ADV170012.

Meer informatie

Overzicht

In de volgende secties helpt u bij het identificeren en verhelpen van Active Directory Certificate Services (AD CS) te verminderen-afgegeven certificaten en verzoeken die zijn getroffen door het beveiligingslek dat wordt beschreven in Microsoft Security Advisory-ADV170012 .

Het proces voor risicobeperking is gericht op het identificeren van de verleende certificaten die worden beïnvloed door het beveiligingslek en is ook gericht op het intrekken van deze.

Zijn de x.509-certificaten die zijn verleend binnen uw onderneming op basis van een sjabloon waarmee KSP TPM?

Als uw onderneming gebruikmaakt van TPM KSP, is het waarschijnlijk dat de scenario's waarin deze certificaten worden gebruikt gevoelig voor dit beveiligingslek geïdentificeerd in het beveiligingsbulletin zijn.


Risicobeperking

  1. Certificaatsjablonen die zijn ingesteld om de TPM KSP naar een op software gebaseerde KSP gebruiken totdat een juiste firmware-update beschikbaar voor uw apparaat is, worden bijgewerkt. Hiermee voorkomt u dat alle toekomstige certificaten met TPM KSP en zullen daarom kwetsbaar maken. Zie Firmware bijwerken verderop in dit artikel voor meer informatie.

  2. Al gemaakt certificaten of aanvragen:

    1. Het ingesloten script gebruikt om de uitgegeven certificaten die kwetsbaar kunnen zijn.

      1. Deze certificaten intrekken door de lijst met de seriële getallen die u hebt verkregen in de vorige stap.

      2. Inschrijven van nieuwe certificaten op basis van de sjabloonconfiguratie waarmee nu software KSP afdwingen.

      3. De scenario's met behulp van de nieuwe certificaten waar u kunt uitvoeren.

    2. Het ingesloten script gebruiken om de aangevraagde certificaten die kwetsbaar kunnen zijn:

      1. Alle certificaataanvragen afwijzen.

    3. Het ingesloten script gebruikt om verlopen certificaten. Zorg ervoor dat deze zijn niet gecodeerde certificaten die nog steeds worden gebruikt om gegevens te decoderen. Verlopen certificaten gecodeerd?

      1. Als u Ja kiest, zorg ervoor dat de gegevens worden gedecodeerd en wordt gecodeerd met behulp van een nieuwe sleutel die is gebaseerd op een certificaat dat is gemaakt met behulp van software KSP.

      2. Zo Nee, kunt u de certificaten gewoon negeren.

    4. Controleer of er is een proces dat verbiedt deze ingetrokken certificaten wordt per ongeluk intrekken ongedaan gemaakt door de beheerder.


Nieuw KDC-certificaten voldoen aan de actuele beste praktijken

Risico: Veel andere servers kunnen voldoen aan de domeincontroller en het Domeincontrollerverificatie verificatie. Dit kan leiden tot bekende rogue KDC aanvalsvectoren.


Herstel

Alle domeincontrollers moeten worden afgegeven certificaten met de KDC EKU, zoals aangegeven in [RFC 4556] punt 3.2.4. Voor AD CS, de sjabloon Kerberos-verificatie gebruiken en configureren voor het vervangt geen andere KDC-certificaten die zijn verleend.

Voor meer informatie legt [RFC 4556] bijlage C uit de geschiedenis van de verschillende sjablonen KDC-certificaat in Windows.

Als alle domeincontrollers hebben de RFC-compatibele KDC-certificaten, kunt Windows zelf beveiligen door Validatie van strikte KDC in Windows Kerberos inschakelen.

Opmerking  Standaard zijn nieuwere Kerberos openbare sleutel-functies vereist.


Zorg ervoor dat de respectieve scenario mislukt de ingetrokken certificaten

AD CS wordt gebruikt voor verschillende scenario's in een organisatie. Het kan worden gebruikt voor Wi-Fi, VPN, KDC, System Center Configuration Manager, enzovoort.

Alle scenario's in uw organisatie identificeren. Zorg ervoor dat deze scenario's niet als ze ingetrokken certificaten hebben of certificaten op basis van de ingetrokken certificaten met geldige software is vervangen en dat de scenario's geslaagd zijn.

Als u OCSP of CRL's gebruikt, wordt deze bijgewerkt zodra zij verlopen. U kunt meestal voor het bijwerken van de CRL in de cache op alle computers. Als uw OCSP voor CRL's, moet u ervoor zorgen dat deze verkrijgt de meest recente CRL's onmiddellijk.

Om ervoor te zorgen dat de cache worden verwijderd, de volgende opdrachten worden uitgevoerd op alle betrokken computers:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Firmware-update

Installeer de update die is uitgebracht door de OEM voor het oplossen van het beveiligingslek in de TPM. Nadat het systeem is bijgewerkt, kunt u de certificaatsjablonen voor het gebruik van de TPM gebaseerde KSP bijwerken.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×