Súhrn
Napadnuteľnosť zabezpečenia v určitých čipové Trusted Platform Module (TPM). Nedostatočné oslabuje šifrovania.
Ďalšie informácie o tejto chyby, nájdete na ADV170012.
Ďalšie informácie
Prehľad
V nasledujúcich častiach vám pomôže identifikovať a zmiernenia odstrániť Active Directory Certificate Services (AD CS)-certifikáty a požiadavky, ktoré sú ovplyvnené zraniteľnosti, ktorý je identifikovaný v Microsoft Security Advisory ADV170012 .
Zníženie proces zameraný na určenie vydané certifikáty, ktoré sú ovplyvnené zraniteľnosti a tiež sa zameriava na zrušenie ich.
Sú certifikáty x.509, ktoré boli vydané v podniku na základe šablónu, ktorá určuje TPM KSP?
Ak váš podnik používa TPM KSP, je pravdepodobné, že situáciách, v ktorých sa používajú tieto certifikáty sú náchylné na chybu v odporúčanie.
Zníženie
-
Do príslušných firmvéru aktualizácia je k dispozícii zariadenie, aktualizujte certifikát šablóny, ktoré sú nastavené pomocou modulu TPM KSP použiť softvérovú KSP. Nebudú vytvárať budúce certifikáty, používajúcich TPM KSP a sú preto zraniteľné. Ďalšie informácie nájdete Firmware Aktualizácia v tomto článku.
-
Pre vytvorili certifikátov alebo požiadavky:
-
Zoznam všetkých vydaných certifikátov môže byť zraniteľný, použite priložený skript.
-
Zrušenie certifikátov odovzdaním zoznamu sériové čísla, ktoré ste získali v predchádzajúcom kroku.
-
Vynútenie registrácia nových certifikátov na základe konfigurácie šablóna teraz určuje softvér KSP.
-
Pomocou nové certifikáty, kde môžete spustiť všetky scenáre.
-
-
Zoznam všetky požadované certifikáty, ktoré môže byť zraniteľné pomocou uzavreté skriptu:
-
Odmietnuť všetky tieto požiadavky na certifikát.
-
-
Zoznam všetkých skončila certifikáty, použite priložený skript. Uistite sa, že nie sú šifrované certifikáty, ktoré sa používa na dešifrovanie údajov. Skončila certifikáty šifrovania?
-
Ak áno, uistite sa, že údaje dešifrovať a potom zašifrované pomocou nového kľúča, ktorý vychádza z certifikát, ktorý je vytvorený pomocou softvéru KSP.
-
Ak nie, môžete ignorovať certifikáty.
-
-
Uistite sa, že je proces, ktorý zakazuje zrušených certifikátov, aby sa náhodne unrevoked správca.
-
Uistite sa, že nové certifikáty KDC spĺňať súčasné postupy
Riziko: Mnoho ďalších serverov môžu kritériám radič domény a overenie radiča domény overovanie. Toto môže spôsobiť známych nebezpečné KDC útokom vektorov.
Problémy s dostupnosťou
Všetky radiče domén by vydané certifikáty KDC EKU, v [RFC 4556] bode 3.2.4. Služba AD CS pomocou overovania protokolom Kerberos šablóny a nakonfigurovať tak, aby ste nahradili iné KDC certifikáty, ktoré boli vydané.
Ďalšie informácie [RFC 4556] Dodatok C vysvetľuje históriu rôzne šablóny certifikátu KDC v systéme Windows.
Ak všetky radiče domén vyhovujúce štandardu RFC KDC certifikáty, systému Windows môže chrániť pomocou Umožňuje prísne KDC overenie Windows Kerboros.
Poznámka: V predvolenom nastavení, novšie Kerberos verejného kľúča funkcie potrebné.
Uistite sa, že zrušených certifikátov nepodarí príslušných scenár
AD CS sa používa pre rôzne scenáre v rámci organizácie. Môže sa použiť Wi-Fi, VPN, KDC, System Center Configuration Manager a podobne.
Identifikovať všetky scenáre v rámci organizácie. Uistite sa, že tieto scenáre zlyhá, ak majú zrušených certifikátov, alebo aby ste nahradili zrušených certifikátov platný softvér na základe certifikátov a scenáre sa úspešne.
Ak používate OCSP alebo zrušených, tieto aktualizovať hneď po ich platnosti. Však zvyčajne chcete aktualizovať zrušených uložené na všetkých počítačoch. Ak váš OCSP závisí od zrušených certifikátov, uistite sa, že získava najnovšie zrušených okamžite.
Uistite sa, že vyrovnávacej pamäte sa odstránia, spustite nasledujúce príkazy na všetkých postihnutých počítačoch:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
Aktualizácia firmvéru
Nainštalujte aktualizáciu vydaná OEM opraviť chybu v TPM. po aktualizovaní systému môžete aktualizovať šablóny certifikátov používať báze TPM KSP.
