Streszczenie

Luka w zabezpieczeniach istnieje w niektórych mikroukładów moduł zaufanej platformy (TPM). Lukę w zabezpieczeniach osłabia siła klucza.

Aby dowiedzieć się więcej na temat tej luki, przejdź do ADV170012.

Więcej informacji

Omówienie

Poniższe sekcje pomoże Ci zidentyfikować, łagodzenia i zaradzenia usług certyfikatów w usłudze Active Directory (AD CS)-wydanych certyfikatów ani żądań, które zostały dotknięte przez omawianą lukę, która jest identyfikowana w Microsoft Security Advisory ADV170012 .

Ograniczania procesu służą przede wszystkim identyfikacji wystawionych certyfikatów, których dotyczy luka, a także skupia się na nich odwoływanie.

Certyfikaty x.509, wystawiane są wewnątrz przedsiębiorstwa oparty na szablonie, który określa KSP modułu TPM?

Jeśli Twoje przedsiębiorstwo używa TPM KSP, jest prawdopodobne, że scenariuszach, w których wykorzystywane są te certyfikaty są podatne na luki w zabezpieczeniach opisanej w Poradniku zabezpieczeń.


Ograniczenie zagrożenia

  1. Dopóki odpowiednią aktualizację oprogramowania układowego jest dostępna dla danego urządzenia, należy zaktualizować szablonów certyfikatów, ustawionego za pomocą modułu TPM KSP KSP oparty na oprogramowaniu. Pozwoli to uniknąć tworzenia wszelkich przyszłych certyfikaty, które używają TPM KSP i są, w związku z tym zagrożone. Aby uzyskać więcej informacji zobacz Aktualizowanie oprogramowania układowego w dalszej części tego artykułu.

  2. Dla już utworzono certyfikatów lub żądania:

    1. Skrypt zamkniętych służy do wyświetlania listy wszystkich wystawionych certyfikatów, które może być zagrożony.

      1. Odwoływanie certyfikatów tych przekazując listę numerów seryjnych, które uzyskaną w poprzednim kroku.

      2. Wymuszaj rejestrowanie nowe certyfikaty na podstawie konfiguracji szablonu, który teraz określa oprogramowania KSP.

      3. Za pomocą nowych certyfikatów, wszędzie tam, gdzie to możliwe, należy ponownie uruchomić wszystkie scenariusze.

    2. Skrypt zamkniętych służy do wyświetlania listy wszystkie żądane certyfikaty, które mogą być narażeni:

      1. Odrzucenie wszystkich żądań certyfikatów.

    3. Skrypt zamkniętych służy do wyświetlania listy wszystkich wygasłych certyfikatów. Upewnij się, że nie są one zaszyfrowane certyfikaty, które nadal są używane do odszyfrowywania danych. Wygasłe certyfikaty są szyfrowane?

      1. Jeśli tak, upewnij się, dane są odszyfrowywane i następnie szyfrowane przy użyciu nowego klucza, który jest oparta na wyłączenia certyfikatu, który jest tworzony przy użyciu oprogramowania KSP.

      2. Jeśli nie, można bezpiecznie zignorować certyfikaty.

    4. Upewnij się, że jest to proces, który zabrania tych odwołanych certyfikatów jest przypadkowo odwołane przez administratora.


Upewnij się, że nowe certyfikaty KDC spełniają najlepszych bieżących praktyk

Ryzyko: Wiele innych serwerów mogą spełniać kryteria weryfikacji uwierzytelniania Kontroler domeny i Kontroler domeny. Może to powodować nieuczciwych dobrze znanych kierunków ataku KDC.


Rozwiązywanie problemu

Wszystkie kontrolery domeny powinny być wydawane certyfikaty, które mają rozszerzenie EKU KDC, jak określono w [RFC 4556] pkt 3.2.4. Dla usług AD CS Użyj szablonu uwierzytelnianie Kerberos i skonfigurować go do zastępują inne Certyfikaty KDC, które zostały wystawione.

Aby uzyskać więcej informacji [RFC 4556] dodatku C wyjaśnia historię różnych szablonów certyfikatu KDC w systemie Windows.

Gdy wszystkie kontrolery domeny mają certyfikaty KDC zgodnym ze specyfikacjami RFC, Windows można się chronić, Włączanie dokładnej weryfikacji w protokole Kerberos systemu Windows.

Uwaga Domyślnie nowsze Kerberos publiczne funkcje klucza będzie wymagane.


Upewnij się, że odwołania certyfikatów nie powiodą się odpowiednich scenariusz

Usługi AD CS jest używany dla różnych scenariuszy w organizacji. Może służyć do Wi-Fi, VPN, KDC, Menedżer konfiguracji programu System Center i tak dalej.

Określenie wszystkich scenariuszy w Twojej organizacji. Upewnij się, że te scenariusze zakończy się niepowodzeniem, jeśli zawierają one odwołanych certyfikatów, albo że zastąpiły odwołanych certyfikatów z oprogramowaniem ważne certyfikaty oparte na i scenariusze są pomyślne.

Jeśli używasz protokołu OCSP lub CRL tych aktualizacji jak najszybciej po ich wygaśnięciu. Jednak zazwyczaj chcesz zaktualizować pamięci podręcznej listy CRL na wszystkich komputerach. Jeśli Twój OCSP opiera się na listach CRL, upewnij się, że najnowsze listy CRL uzyskuje od razu.

Aby upewnić się, że bufory są usuwane, uruchom następujące polecenia na wszystkich komputerach, których dotyczy luka:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Aktualizacja oprogramowania układowego

Zainstaluj aktualizację, wydane przez producenta OEM w celu wyeliminowania luki w module TPM. Po zaktualizowaniu systemu można zaktualizować szablonów certyfikatów, aby użyć KSP opartych na module TPM.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jaka jest jakość tłumaczenia?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×