Podsumowanie
W niektórych chipsetach modułu TPM (Trusted Platform Module) występuje luka w zabezpieczeniach. Luka ta osłabia siłę klucza. Aby dowiedzieć się więcej na temat luki w zabezpieczeniach, przejdź do ADV170012.
Więcej informacji
Omówienie
Poniższe sekcje pomogą zidentyfikować i rozwiązać problemy w domenach usługi Active Directory (AD) i kontrolerach domeny, których dotyczy luka opisana w poradniku zabezpieczeń firmy Microsoft ADV170012.
Ten proces łagodzenia koncentruje się na następującym scenariuszu klucza publicznego usługi Active Directory:
-
Klucze poświadczeń komputera przyłączone do domeny
Aby uzyskać informacje dotyczące odwoływania i wystawiania nowych certyfikatów centrum dystrybucji kluczy, zobacz Plan łagodzenia scenariuszy opartych na usługach certyfikatów w usłudze Active Directory.
Określanie przepływu pracy ryzyka klucza poświadczeń komputera przyłączonego do domeny
Czy masz kontrolery domeny z systemem Windows Server 2016 (lub nowszym)?
Wprowadzono klucze poświadczeń dla kontrolerów domeny z systemem Windows Server 2016. Kontrolery domeny dodać dobrze znanego identyfikatora SID KEY_TRUST_IDENTITY (S-1-18-4), gdy klucz poświadczeń jest używany do uwierzytelniania. Starsze kontrolery domeny nie obsługuje kluczy poświadczeń, więc AD nie obsługuje obiektów klucza poświadczeń, a kontrolery domeny niedziałający poziom nie może uwierzytelniać podmiotów za pomocą kluczy poświadczeń.
Poprzednio altSecurityIdentity (często określane jako altsecid) atrybut może służyć do zapewnienia podobnego zachowania. Inicjowanie obsługi administracyjnej Altssecid nie jest obsługiwana macierzyście przez system Windows. W związku z tym należy rozwiązanie innej firmy, która zapewnia to zachowanie. Jeśli klucz, który jest obsługiwana jest narażony, odpowiednie altSsecID musiałby zostać zaktualizowany w AD.
Czy wszystkie domeny systemu Windows Server 2016 (lub nowszy) DFL?
Kontrolery domeny systemu Windows Server 2016 obsługuje kryptografii klucza publicznego dla początkowego uwierzytelniania w protokole Kerberos (PKINIT) rozszerzenie świeżości [RFC 8070], chociaż nie domyślnie. GdyObsługa rozszerzenia świeżości PKINIT jest włączona na kontrolerach domeny w systemie Windows Server 2016 DFL lub nowsze domeny, kontrolery domeny dodać dobrze znanego identyfikatora SID FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3), gdy rozszerzenie jest pomyślnie Używane. Aby uzyskać więcej informacji, zobacz Klient protokołu Kerberos i obsługa centrum dystrybucji kluczy RFC 8070 PKInit świeżość rozszerzenia.
Łatanie komputerów
Obsługa komputerów z systemem Windows 10, które mają aktualizacji zabezpieczeń 2017 października spowoduje usunięcie istniejącego klucza poświadczeń modułu TPM. System Windows będzie tylko aprowizowania kluczy chronionych poświadczeń Guard, aby zapewnić ochronę Pass-bilet dla kluczy urządzeń przyłączonych do domeny. Ponieważ wielu klientów są Dodawanie poświadczeń Guard dobrze po przyłączanie do domeny ich komputerów, ta zmiana zapewnia, że urządzenia, które mają włączoną funkcję Credential Guard może zapewnić, że wszystkie TGT wydane przy użyciu klucza poświadczeń są chronione przez ochronę poświadczeń.