Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Súhrn

Napadnuteľnosť zabezpečenia v niektorých čipovných súboroch modulu TPM (Trusted Platform Module). Zraniteľnosť oslabuje silu kľúča. Ďalšie informácie o zraniteľnosti, prejdite na ADV170012.

Ďalšie informácie

Prehľad

Nasledujúce časti vám pomôžu identifikovať a napraviť problémy v Active Directory (AD) domén a radiče domény, ktoré sú ovplyvnené zraniteľnosti, ktorá je popísaná v Microsoft Security ADVISORY ADV170012.

Tento proces zmiernenia sa zameriava na nasledujúce Active Directory verejného kľúča scenár:

  • Doména-pripojil počítača poverenia kľúče

Informácie o zrušení a vydaní nových certifikátov KDC nájdete v časti plán zmiernenia pre scenáre založené na certifikátoch služby Active Directory.

Určenie domény-pripojil počítač poverenia kľúč riziko workflow

Určenie doméne počítača poverení kľúč riziko pracovného postupu

Máte radiče domén systému Windows Server 2016 (alebo novší)?

Poverenia kľúče boli zavedené pre radiče domény systému Windows Server 2016. Radiče domén pridať známy SID KEY_TRUST_IDENTITY (S-1-18-4) keď kľúč poverenia sa používa na overenie. Staršie radiče domény nepodporovali poverenia kľúče, takže reklama nepodporuje objekty kľúča poverení a radiče domény dole nie je možné overiť princípy pomocou poverení kľúče.

Predtým, Altsecurityidentity (často označované ako altsecid) atribút by mohli byť použité na poskytovanie podobné správanie. Poskytovanie Altssecid nie je natívne podporovaná systémom Windows. Preto budete potrebovať riešenie tretej strany, ktorý poskytuje toto správanie. Ak je zabezpečený kľúč je zraniteľný, zodpovedajúce altSsecID bude musieť byť aktualizovaný v AD.

Sú všetky domény Windows Server 2016 (alebo novší) DFL?

Radiče domény systému Windows Server 2016 podporujú verejný kľúč kryptografie pre počiatočné overovanie v Kerberos (PKINIT) sviežosť rozšírenie [RFC 8070], hoci nie predvolene. Keďpodpora pre PKInit čerstvosť rozšírenie zapnutá na radičoch domény v systéme Windows Server 2016 DFL alebo novšie domény, radiče domény pridať známy sid FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) po úspešnom rozšírení Používa. Ďalšie informácie nájdete v časti Kerberos client a KDC podporu RFC 8070 PKInit čerstvosť rozšírenie.

Oprava počítačov

Servis Windows 10 počítače, ktoré majú október 2017 aktualizácie zabezpečenia odstráni existujúci kľúč poverení modulu TPM. Systém Windows bude len zabezpečenie poverení stráže-chránené kľúče zabezpečiť Pass-The-Ticket ochranu pre doménu-pripojil zariadenia kľúčov. Pretože mnoho zákazníkov pridáva poverenia stráž aj po doméne-pripojenie svojich počítačov, táto zmena zabezpečuje, že zariadenia, ktoré majú poverenia stráž povolené môže zabezpečiť, že všetky TGTs vydané pomocou poverení kľúč sú chránené poverenia stráže.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×