Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Resumo

Existe uma vulnerabilidade de segurança em certos chipsets do Trusted Platform Module (TPM). A vulnerabilidade reduz a força da chave.

Para saber mais sobre esta vulnerabilidade, acesse ADV170012.

Informações adicionais

Visão Geral

As seções a seguir ajudarão a identificar, mitigar e remediar solicitações e certificados emitidos pelos Serviços de Certificados do Active Directory (AD CS) que são afetados pela vulnerabilidade identificada no Comunicado de Segurança da Microsoft ADV170012.

O processo de mitigação concentra-se em identificar os certificados emitidos que são afetados pela vulnerabilidade e também se concentra em revogá-los.

Os certificados x.509 são emitidos na sua empresa com base em um modelo que especifica o KSP TPM?

Se a sua empresa usa o KSP do TPM, é provável que os cenários em que esses certificados estão sendo usados sejam suscetíveis à vulnerabilidade identificada no comunicado de segurança.


Mitigação

  1. Até que uma atualização de firmware esteja disponível para seu dispositivo, atualize os modelos de certificados que estão configurados para usar o KSP do TPM para usar um KSP baseado em software. Isso evitará a criação de futuros certificados que usem o KSP do TPM e que, portanto, são vulneráveis. Para obter mais informações, consulte Atualização de firmware mais adiante neste artigo.

  2. Para certificados ou solicitações já criados:

    1. Use o script incluído para listar todos os certificados emitidos que possam ser vulneráveis. 

      1. Revogue esses certificados transmitindo a lista de números de série que você obteve na etapa anterior.

      2. Aplique a inscrição de novos certificados com base na configuração do modelo que agora especifica o KSP de software.

      3. Execute novamente todos os cenários usando os novos certificados sempre que possível.

    2. Use o script incluído para listar todos os certificados solicitados que possam ser vulneráveis:

      1. Rejeite todas essas solicitações de certificado.

    3. Use o script incluído para listar todos os certificados expirados. Certifique-se de que estes não sejam certificados criptografados ainda usados para descriptografar dados. Os certificados expirados são criptografados?

      1. Em caso positivo, certifique-se de que os dados sejam descriptografados e, em seguida, criptografados usando uma nova chave que se baseia em um certificado criado usando o KSP de software.

      2. Em caso negativo, você poderá ignorar com segurança os certificados.

    4. Certifique-se de que haja um processo que proíba que esses certificados revogados sejam acidentalmente não revogados pelo administrador.


Certifique-se de que novos certificados KDC atendam às melhores práticas atuais

Risco: Muitos outros servidores podem atender aos critérios de verificação de Controlador de Domínio e Autenticação de Controlador de Domínio. Isso pode introduzir vetores de ataque KDC invasores bem conhecidos.


Correção

Todos os controladores de domínio devem receber certificados que tenham o KDC EKU, conforme especificado na [RFC 4556] Seção 3.2.4. Para o AD CS, use o modelo de autenticação Kerberos e configure-o para substituir quaisquer outros certificados KDC que foram emitidos.

Para obter mais informações, o [RFC 4556], Apêndice C, explica o histórico dos vários modelos de certificados KDC no Windows.

Quando todos os Controladores de Domínio possuem certificados KDC compatíveis com RFC, o Windows pode se proteger ao Habilitar a validação KDC estrita no Windows Kerberos.

Observação Por padrão, serão necessários recursos de chave pública Kerberos mais recentes.


Certificar-se de que os certificados revogados falhem no respectivo cenário

O AD CS é usado para vários cenários em uma organização. Ele pode ser usado para Wi-Fi, VPN, KDC, System Center Configuration Manager e assim por diante.

Identifique todos os cenários da sua organização. Certifique-se de que esses cenários falharão se tiverem os certificados revogados ou que você tenha substituído todos os certificados revogados por certificados baseados em softwares válidos e que os cenários sejam bem-sucedidos.

Se você estiver usando o OCSP ou o CRLS, eles serão atualizados assim que expirarem. No entanto, você normalmente deseja atualizar os CRLs em cache em todos os computadores. Se o seu OCSP se basear em CRLs, certifique-se de que ele obtenha os CRLs mais recentes imediatamente.

Para garantir que os caches sejam excluídos, execute os seguintes comandos em todos os computadores afetados:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Atualização de firmware

Instale a atualização lançada pelo OEM para corrigir a vulnerabilidade no TPM. Depois que o sistema for atualizado, você poderá atualizar os modelos de certificado para usar o KSP baseado no TPM.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×