Rezumat
Există o vulnerabilitate de securitate în anumite chipset Trusted Platform Module (TPM). Vulnerabilitate slăbeşte puterea cheie.
Pentru a afla mai multe despre această vulnerabilitate, accesați ADV170012.
Mai multe informații
Prezentare generală
Secțiunile următoare vă va ajuta să identificați, diminua și remedia servicii Active Directory pentru Certificate (AD CS)-emite certificate și solicitările care au fost afectate de vulnerabilitate care este identificat în Microsoft Security Advisory ADV170012 .
Procesul de reducere se concentrează pe identificarea certificatele emise care sunt afectate de vulnerabilitate și, de asemenea, se concentrează pe revocarea lor.
Sunt certificate x.509 care sunt emise în interiorul de întreprindere bazate pe un șablon care specifică TPM KSP?
Dacă întreprinderea dvs. utilizează TPM KSP, este probabil că scenarii în care se utilizează aceste certificate sunt sensibile la vulnerabilitate identificate în avertizarea de securitate.
Diminuarea
-
Până când o actualizare de firmware-ul corespunzător este disponibil pentru dispozitivul dvs., actualizați șabloane de certificat care sunt setate pentru a utiliza TPM KSP pentru a utiliza o KSP bazată pe software. Acest lucru va împiedica crearea orice viitoare certificate care utilizează TPM KSP și sunt, de aceea, vulnerabile. Pentru mai multe informații, consultați Firmware Actualizare mai târziu în acest articol.
-
Pentru deja create certificate sau cereri:
-
Utilizarea scriptului închisă pentru a lista toate certificatele emise care ar putea fi vulnerabile.
-
Revocarea aceste certificate trecând lista de numerele de serie obținută în pasul anterior.
-
Impunerea de înregistrare a certificatelor nou bazat pe șablon de configurare care specifică acum software KSP.
-
Executați din nou toate scenariile utilizând noile certificate, indiferent unde vă puteți.
-
-
Utilizarea scriptului închisă pentru a lista toate certificatele solicitate care ar putea fi vulnerabil:
-
Respinge toate aceste cereri de certificat.
-
-
Utilizarea scriptului închisă pentru a lista toate certificate expirată. Asigurați-vă că acestea nu sunt criptate certificate care încă sunt folosite pentru a decripta datele. Sunt criptate certificate expirat?
-
Dacă da, asiguraţi-vă că datele sunt decriptate şi apoi criptat utilizând o cheie nouă care se bazează pe un certificat care se creează utilizând software-ul KSP.
-
Dacă nu, puteţi ignora certificatelor.
-
-
Asigurați-vă că există un proces care interzice aceste certificate revocate fiind accidental unrevoked de administrator.
-
Asigurați-vă că noul KDC certificate îndeplinesc curent cele mai bune practici
Risc: Multe alte servere poate corespund criteriilor de verificare controler de domeniu și autentificare de controler de domeniu. Aceasta poate introduce bine cunoscute răuvoitor KDC atac vectori.
Remediere
Toate controlerele de domeniu se eliberează certificate care au EKU KDC, după cum este specificat în [RFC 4556] secțiune 3.2.4. Pentru AD CS, utilizați autentificarea Kerberos șabloane și configura pentru a avea prioritate în fața orice alte KDC certificate care au fost emise.
Pentru mai multe informații, [RFC 4556] apendicele C explică istoria diverse KDC șabloane de certificat în Windows.
Când toate controlerele de domeniu au compatibil cu RFC KDC certificate, Windows poate proteja prin Activarea Strict KDC validare în Windows Kerberos.
Notă În mod implicit, Kerberos public cheie caracteristicile noi va fi necesar.
Asigurați-vă că nu de certificate revocate scenariul respectiv
AD CS este utilizat pentru diferite scenarii într-o organizație. Acesta poate fi utilizat pentru Wi-Fi, VPN, KDC, System Center Configuration Manager și așa mai departe.
Identifică toate scenariile din organizația dvs. Asigurați-vă că aceste scenarii nu va reuși dacă au certificate revocate sau care au înlocuit toate certificate revocate cu software-ul valid bazat pe certificate și că scenariile de succes.
Dacă utilizați OCSP sau CRLS, acestea se va actualiza imediat după expirarea lor. Cu toate acestea, de obicei îl actualizați CRLs cache pe toate computerele. Dacă vă OCSP se bazează pe CRLs, asigurați-vă că se obține cele mai recente CRLs imediat.
Pentru a vă asigura că sunt șterse cache, executați următoarele comenzi pe toate computerele afectat:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
Actualizare de firmware
Instalați actualizarea care se lansează de OEM să remedieze vulnerabilitatea în TPM. după ce sistemul este actualizat, puteți actualiza șabloane de certificat pentru a utiliza bazate pe TPM KSP.