Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Sumário

Existe uma vulnerabilidade de segurança em determinados chipsets de Trusted Platform Module (TPM). A vulnerabilidade enfraquece força da chave.

Para mais informações sobre esta vulnerabilidade, vá para ADV170012.

Mais informações

Descrição geral

As secções seguintes irão ajudá-lo a identificar, atenuar e remediar os serviços de certificados do Active Directory (AD CS)-emitidos certificados e pedidos que foram afectados pela vulnerabilidade que é identificada no Aviso de segurança da Microsoft ADV170012 .

O processo de atenuação centra-se na identificação de certificados emitidos que são afectados pela vulnerabilidade e foca também revogá-los.

São os certificados x. 509 emitidos dentro da empresa com base num modelo que especifica KSP de TPM?

Se a empresa utiliza o TPM KSP, é provável que sejam sensíveis para a vulnerabilidade identificada no aviso de segurança cenários nos quais estes certificados são a ser utilizados.


Atenuação

  1. Até que uma actualização de firmware apropriada está disponível para o dispositivo, actualize modelos de certificado que estão definidas para utilizar o TPM KSP para utilizar um KSP baseado em software. Isto irá impedir a criação de quaisquer certificados futuros que utilizam o TPM KSP e são, por isso, vulnerável. Para mais informações, consulte Firmware actualizar mais tarde neste artigo.

  2. Já criado certificados ou pedidos:

    1. Utilize o script incluído para listar todos os certificados emitidos que podem estar vulneráveis.

      1. Revogar estes certificados, passando a lista de números de série que transferiu no passo anterior.

      2. Impor a inscrição de novos certificados baseados na configuração de modelo que especifica software KSP agora.

      3. Volte a executar todos os cenários utilizando os novos certificados, sempre que possível.

    2. Utilize o script incluído para listar todos os certificados pedidos que podem estar vulneráveis:

      1. Rejeite todas as requisições de certificados.

    3. Utilize o script incluído para listar todos os certificados expirados. Certifique-se de que estes não são encriptados certificados que continuam a ser utilizados para desencriptar dados. Os certificados expirados são encriptados?

      1. Em caso afirmativo, certifique-se os dados estão desencriptados e, em seguida, encriptados utilizando uma nova chave que é baseada num certificado que é criado utilizando o software KSP.

      2. Se não, pode ignorar com segurança os certificados.

    4. Certifique-se de que existe um processo que proíbe estes certificados revogados acidentalmente a ser anulada pelo administrador.


Certifique-se de que os novos certificados KDC cumprem actuais procedimentos recomendados

Risco: Muitos outros servidores podem satisfazer os critérios de verificação de controlador de domínio e a autenticação do controlador de domínio. Isto pode introduzir os vectores de ataque conhecidos rogue KDC.


Remediação

Todos os controladores de domínio deverão ser emitidos certificados que têm KDC EKU, como especificado no [RFC 4556] ponto 3.2.4. Para o AD CS, utilize o modelo de autenticação Kerberos e configurá-lo para substituir quaisquer outros certificados KDC que foram emitidos.

Para mais informações, o apêndice C do [RFC 4556] explica o histórico de vários modelos de certificado KDC no Windows.

Quando todos os controladores de domínio têm certificados KDC compatível com RFC, Windows pode proteger-se Activar a validação de KDC estrita no Windows Kerberos.

Nota Por predefinição, será necessárias mais recentes Kerberos de funcionalidades chave públicas.


Certifique-se de que os certificados revogados falharem o cenário respectivo

AD CS é utilizado para vários cenários de uma organização. Poderá ser utilizado para Wi-Fi, VPN, KDC, System Center Configuration Manager e assim sucessivamente.

Identifica todos os cenários na sua organização. Certifique-se de que estes cenários falhará se têm os certificados revogados ou que tiver substituído todos os certificados revogados por software válido com base em certificados e que os cenários são efectuadas com êxito.

Se estiver a utilizar o OCSP ou CRL, estes actualiza, logo que expirarem. No entanto, normalmente, pretende actualizar as CRL em cache em todos os computadores. Se o OCSP depende de CRLs, certifique-se de que obtém as CRL mais recentes imediatamente.

Para se certificar de que as caches são eliminadas, execute os seguintes comandos em todos os computadores afectados:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Actualização de firmware

Instale a actualização disponibilizada pelo OEM para corrigir a vulnerabilidade no TPM. Depois do sistema está actualizado, pode actualizar os modelos de certificado para utilizar KSP baseado no TPM.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×