План устранения рисков для сценариев на основе служб сертификации Active Directory

Обзор

Уязвимость существует в некоторых наборах микросхем доверенного платформенного модуля (TPM). Ею ослаблении сила ключа.

Для получения дополнительных сведений об этой уязвимости, перейдите к ADV170012.

Дополнительные сведения

Обзор

Следующие разделы помогут вам определить, смягчения и устранения службы сертификации Active Directory (AD CS)-выданных сертификатов и запросов, которые были подвержены уязвимости, описанные в Советах ADV170012 безопасности Microsoft .

Процесс устранения посвящены определению выданные сертификаты, которые подвержены уязвимости и также фокусируется на их Отмена.

Выданные сертификаты x.509 находятся внутри предприятия на основе шаблона, задающее KSP доверенного платформенного МОДУЛЯ?

Если в организации используется KSP доверенного платформенного МОДУЛЯ, скорее всего, подвержена уязвимости, описанной в рекомендациях по безопасности сценариев, в которых используются эти сертификаты.


По уменьшению

  1. Пока подходящее обновление микропрограмм для вашего устройства, обновите шаблоны сертификатов, установленных для использования доверенного платформенного МОДУЛЯ KSP для использования поставщика хранилищ КЛЮЧЕЙ на базе программного обеспечения. Это предотвратит создание любых будущих сертификатов, использующих доверенный платформенный модуль KSP и которые, таким образом, уязвимым. Дополнительные сведения см. Далее в этой статье обновления встроенного по .

  2. Уже созданы запросы или сертификаты:

    1. Используйте вложенный сценарий для получения списка всех выданных сертификатов, которые могут быть уязвимыми.

      1. Отзыв сертификатов, передав в списке Числовые форматы, полученное на предыдущем шаге.

      2. Обеспечения подачи заявок на новые сертификаты на основе шаблона конфигурации, теперь определяет программное обеспечение KSP.

      3. С помощью новых сертификатов, везде, где можно повторно выполните все сценарии.

    2. Перечислить все запрашиваемые сертификаты, которые могут быть уязвимыми с помощью прилагаемого сценария:

      1. Отклоните все запросы сертификатов.

    3. С помощью прилагаемого сценария список всех сертификатов, срок действия которых истек. Убедитесь в том, что они не являются зашифрованные сертификаты, которые по-прежнему используется для расшифровки данных. Просроченные сертификаты шифрования?

      1. Если Да, убедитесь, что данные расшифровываются и затем шифруются с помощью нового ключа на сертификат, созданный с помощью программного обеспечения KSP.

      2. Если нет, можно игнорировать сертификаты.

    4. Убедитесь в том, что процесс, который запрещает эти отозванных сертификатов случайно отменили отзыв администратором.


Убедитесь в том, что новые сертификаты KDC соответствуют текущей советы и рекомендации

Риска: Другие серверы могут соответствовать критериям проверки подлинности контроллер домена и контроллер домена. Это может привести к появлению хорошо известных rogue KDC атак.


Обновлений

Все контроллеры домена должны быть выданные сертификаты, имеющие KDC EKU, как указано в [RFC 4556] раздел 3.2.4. Для службы AD CS используйте шаблон проверки подлинности Kerberos и настройте его для заменяет любой KDC сертификаты, выданные.

Дополнительные сведения в приложении C [RFC 4556] описание истории различных шаблонов сертификата KDC в Windows.

Если все контроллеры домена имеют сертификаты с RFC KDC, Windows можно защитить себя, Позволяя обязательную проверку подлинности KDC в Windows Kerberos.

Примечание. По умолчанию потребуется средств открытого ключа новой Kerberos.


Убедитесь в том, что отозванных сертификатов ошибкой соответствующим скриптом

Службы AD CS используется для различных сценариев в организации. Он может использоваться для Wi-Fi, VPN, KDC, System Center Configuration Manager и т. д.

Идентифицируйте сценарии, в вашей организации. Убедитесь в том, что эти сценарии завершится ошибкой, если они имеют отозванных сертификатов, или что Вы заменили все сертификаты, отозванные лицензионного программного обеспечения на основе сертификатов и что сценарии выполняются успешно.

При использовании списков отзыва Сертификатов или OCSP эти обновления сразу же после истечения срока их действия. Тем не менее обычно требуется обновить кэшированные списки отзыва сертификатов на всех компьютерах. Если ваш OCSP зависит от списков отзыва сертификатов, убедитесь, что сразу же он получает последние списки отзыва сертификатов.

Чтобы убедиться в том, что кэш будет удален, запустите следующие команды на всех уязвимых компьютерах:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Обновление встроенного по

Обновление выпущено ПВТ для устранения уязвимости в доверенный платформенный модуль. После обновления системы можно обновить шаблоны сертификатов для использования на основе доверенного платформенного МОДУЛЯ KSP.

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×