Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Rezumat

Există o vulnerabilitate de securitate în anumite chipset Trusted Platform Module (TPM). Vulnerabilitate slăbeşte puterea cheie.

Pentru a afla mai multe despre această vulnerabilitate, accesați ADV170012.

Mai multe informații

Prezentare generală

Secțiunile următoare vă va ajuta să identificați, diminua și remedia servicii Active Directory pentru Certificate (AD CS)-emite certificate și solicitările care au fost afectate de vulnerabilitate care este identificat în Microsoft Security Advisory ADV170012 .

Procesul de reducere se concentrează pe identificarea certificatele emise care sunt afectate de vulnerabilitate și, de asemenea, se concentrează pe revocarea lor.

Sunt certificate x.509 care sunt emise în interiorul de întreprindere bazate pe un șablon care specifică TPM KSP?

Dacă întreprinderea dvs. utilizează TPM KSP, este probabil că scenarii în care se utilizează aceste certificate sunt sensibile la vulnerabilitate identificate în avertizarea de securitate.


Diminuarea

  1. Până când o actualizare de firmware-ul corespunzător este disponibil pentru dispozitivul dvs., actualizați șabloane de certificat care sunt setate pentru a utiliza TPM KSP pentru a utiliza o KSP bazată pe software. Acest lucru va împiedica crearea orice viitoare certificate care utilizează TPM KSP și sunt, de aceea, vulnerabile. Pentru mai multe informații, consultați Firmware Actualizare mai târziu în acest articol.

  2. Pentru deja create certificate sau cereri:

    1. Utilizarea scriptului închisă pentru a lista toate certificatele emise care ar putea fi vulnerabile.

      1. Revocarea aceste certificate trecând lista de numerele de serie obținută în pasul anterior.

      2. Impunerea de înregistrare a certificatelor nou bazat pe șablon de configurare care specifică acum software KSP.

      3. Executați din nou toate scenariile utilizând noile certificate, indiferent unde vă puteți.

    2. Utilizarea scriptului închisă pentru a lista toate certificatele solicitate care ar putea fi vulnerabil:

      1. Respinge toate aceste cereri de certificat.

    3. Utilizarea scriptului închisă pentru a lista toate certificate expirată. Asigurați-vă că acestea nu sunt criptate certificate care încă sunt folosite pentru a decripta datele. Sunt criptate certificate expirat?

      1. Dacă da, asiguraţi-vă că datele sunt decriptate şi apoi criptat utilizând o cheie nouă care se bazează pe un certificat care se creează utilizând software-ul KSP.

      2. Dacă nu, puteţi ignora certificatelor.

    4. Asigurați-vă că există un proces care interzice aceste certificate revocate fiind accidental unrevoked de administrator.


Asigurați-vă că noul KDC certificate îndeplinesc curent cele mai bune practici

Risc: Multe alte servere poate corespund criteriilor de verificare controler de domeniu și autentificare de controler de domeniu. Aceasta poate introduce bine cunoscute răuvoitor KDC atac vectori.


Remediere

Toate controlerele de domeniu se eliberează certificate care au EKU KDC, după cum este specificat în [RFC 4556] secțiune 3.2.4. Pentru AD CS, utilizați autentificarea Kerberos șabloane și configura pentru a avea prioritate în fața orice alte KDC certificate care au fost emise.

Pentru mai multe informații, [RFC 4556] apendicele C explică istoria diverse KDC șabloane de certificat în Windows.

Când toate controlerele de domeniu au compatibil cu RFC KDC certificate, Windows poate proteja prin Activarea Strict KDC validare în Windows Kerberos.

Notă În mod implicit, Kerberos public cheie caracteristicile noi va fi necesar.


Asigurați-vă că nu de certificate revocate scenariul respectiv

AD CS este utilizat pentru diferite scenarii într-o organizație. Acesta poate fi utilizat pentru Wi-Fi, VPN, KDC, System Center Configuration Manager și așa mai departe.

Identifică toate scenariile din organizația dvs. Asigurați-vă că aceste scenarii nu va reuși dacă au certificate revocate sau care au înlocuit toate certificate revocate cu software-ul valid bazat pe certificate și că scenariile de succes.

Dacă utilizați OCSP sau CRLS, acestea se va actualiza imediat după expirarea lor. Cu toate acestea, de obicei îl actualizați CRLs cache pe toate computerele. Dacă vă OCSP se bazează pe CRLs, asigurați-vă că se obține cele mai recente CRLs imediat.

Pentru a vă asigura că sunt șterse cache, executați următoarele comenzi pe toate computerele afectat:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Actualizare de firmware

Instalați actualizarea care se lansează de OEM să remedieze vulnerabilitatea în TPM. după ce sistemul este actualizat, puteți actualiza șabloane de certificat pentru a utiliza bazate pe TPM KSP.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×