Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Streszczenie

Luka w zabezpieczeniach istnieje w niektórych mikroukładów moduł zaufanej platformy (TPM). Lukę w zabezpieczeniach osłabia siła klucza.Aby dowiedzieć się więcej na temat tej luki, przejdź do ADV170012.

Więcej informacji

Omówienie

Poniższe sekcje pomoże Ci zidentyfikować, łagodzenia i zaradzenia usług certyfikatów w usłudze Active Directory (AD CS)-wydanych certyfikatów ani żądań, które zostały dotknięte przez omawianą lukę, która jest identyfikowana w Microsoft Security Advisory ADV170012 .

Ograniczania procesu służą przede wszystkim identyfikacji wystawionych certyfikatów, których dotyczy luka, a także skupia się na nich odwoływanie.

Certyfikaty x.509, wystawiane są wewnątrz przedsiębiorstwa oparty na szablonie, który określa KSP modułu TPM?

Jeśli Twoje przedsiębiorstwo używa TPM KSP, jest prawdopodobne, że scenariuszach, w których wykorzystywane są te certyfikaty są podatne na luki w zabezpieczeniach opisanej w Poradniku zabezpieczeń.

Ograniczenie zagrożenia

  1. Dopóki odpowiednią aktualizację oprogramowania układowego jest dostępna dla danego urządzenia, należy zaktualizować szablonów certyfikatów, ustawionego za pomocą modułu TPM KSP KSP oparty na oprogramowaniu. Pozwoli to uniknąć tworzenia wszelkich przyszłych certyfikaty, które używają TPM KSP i są, w związku z tym zagrożone. Aby uzyskać więcej informacji zobacz Aktualizowanie oprogramowania układowego w dalszej części tego artykułu.

  2. Dla już utworzono certyfikatów lub żądania:

    1. Skrypt zamkniętych służy do wyświetlania listy wszystkich wystawionych certyfikatów, które może być zagrożony.

      1. Odwoływanie certyfikatów tych przekazując listę numerów seryjnych, które uzyskaną w poprzednim kroku.

      2. Wymuszaj rejestrowanie nowe certyfikaty na podstawie konfiguracji szablonu, który teraz określa oprogramowania KSP.

      3. Za pomocą nowych certyfikatów, wszędzie tam, gdzie to możliwe, należy ponownie uruchomić wszystkie scenariusze.

    2. Skrypt zamkniętych służy do wyświetlania listy wszystkie żądane certyfikaty, które mogą być narażeni:

      1. Odrzucenie wszystkich żądań certyfikatów.

    3. Skrypt zamkniętych służy do wyświetlania listy wszystkich wygasłych certyfikatów. Upewnij się, że nie są one zaszyfrowane certyfikaty, które nadal są używane do odszyfrowywania danych. Wygasłe certyfikaty są szyfrowane?

      1. Jeśli tak, upewnij się, dane są odszyfrowywane i następnie szyfrowane przy użyciu nowego klucza, który jest oparta na wyłączenia certyfikatu, który jest tworzony przy użyciu oprogramowania KSP.

      2. Jeśli nie, można bezpiecznie zignorować certyfikaty.

    4. Upewnij się, że jest to proces, który zabrania tych odwołanych certyfikatów jest przypadkowo odwołane przez administratora.

Upewnij się, że nowe certyfikaty KDC spełniają najlepszych bieżących praktyk

Ryzyko: Wiele innych serwerów mogą spełniać kryteria weryfikacji uwierzytelniania Kontroler domeny i Kontroler domeny. Może to powodować nieuczciwych dobrze znanych kierunków ataku KDC.

Rozwiązywanie problemu

Wszystkie kontrolery domeny powinny być wydawane certyfikaty, które mają rozszerzenie EKU KDC, jak określono w [RFC 4556] pkt 3.2.4. Dla usług AD CS Użyj szablonu uwierzytelnianie Kerberos i skonfigurować go do zastępują inne Certyfikaty KDC, które zostały wystawione.

Aby uzyskać więcej informacji [RFC 4556] dodatku C wyjaśnia historię różnych szablonów certyfikatu KDC w systemie Windows.

Gdy wszystkie kontrolery domeny mają certyfikaty KDC zgodnym ze specyfikacjami RFC, Windows można się chronić, Włączanie dokładnej weryfikacji w protokole Kerberos systemu Windows.

Uwaga Domyślnie nowsze Kerberos publiczne funkcje klucza będzie wymagane.

Upewnij się, że odwołania certyfikatów nie powiodą się odpowiednich scenariusz

Usługi AD CS jest używany dla różnych scenariuszy w organizacji. Może służyć do Wi-Fi, VPN, KDC, Menedżer konfiguracji programu System Center i tak dalej.

Określenie wszystkich scenariuszy w Twojej organizacji. Upewnij się, że te scenariusze zakończy się niepowodzeniem, jeśli zawierają one odwołanych certyfikatów, albo że zastąpiły odwołanych certyfikatów z oprogramowaniem ważne certyfikaty oparte na i scenariusze są pomyślne.

Jeśli używasz protokołu OCSP lub CRL tych aktualizacji jak najszybciej po ich wygaśnięciu. Jednak zazwyczaj chcesz zaktualizować pamięci podręcznej listy CRL na wszystkich komputerach. Jeśli Twój OCSP opiera się na listach CRL, upewnij się, że najnowsze listy CRL uzyskuje od razu.

Aby upewnić się, że bufory są usuwane, uruchom następujące polecenia na wszystkich komputerach, których dotyczy luka:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now

Aktualizacja oprogramowania układowego

Zainstaluj aktualizację, wydane przez producenta OEM w celu wyeliminowania luki w module TPM. Po zaktualizowaniu systemu można zaktualizować szablonów certyfikatów, aby użyć KSP opartych na module TPM.

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.