Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Rezime

Bezbednosna ranjivost postoji u određenim skupovima čipova modula pouzdane platforme (TPM). Ranjivost slabe snagu ključa. Da biste saznali više o ranjivosti, posetite lokaciju ADV170012.

Više informacija

Pregled

Sledeći odeljci će vam pomoći da identifikujete i obeštećenje probleme u domenima aktivnog direktorijuma (AD) i kontrolerima domena na koje utiče ranjivost koja je opisana u Microsoft Security SAVETODAVNOM ADV170012.

Ovaj proces za ublažavanje se fokusira na sledeći scenario javnog ključa aktivnog direktorijuma:

  • Ključevi za akreditive koji se priključeni na domen

Više informacija o opozu i izdavanju novih KDC certifikata potražite u članku plan za ublažavanje usluga certifikata u aktivnom direktorijumu.

Utvrđivanje toka posla koji se udruži sa domenom na računaru

Determining domain-joined computer credential key risk workflow

Da li imate Windows Server 2016 (ili novije) kontrolere domena?

Ključevi akreditiva su uvedeni za kontrolore domena za Windows Server 2016. Kontrolori domena dodaju dobro poznate SID-KEY_TRUST_IDENTITY (S-1-18-4) kada se ključ za akreditive koristi za potvrdu identiteta. Prethodni kontrolori domena nisu podržali ključeve za akreditive, tako da oglas ne podržava objekte ključeva za akreditive, a kontrolori domena nižeg nivoa ne mogu da potvrde verodostojnost principala pomoću ključeva za akreditive.

Prethodno se može koristiti atribut Altosiguritynosti (često se naziva " altsecid") da bi se obezbedio slično ponašanje. Windows ne podržava "obezbeđivanje Altssecid ". Zbog toga će vam biti potrebna rešenja nezavisnog proizvođača koja obezbeđuje ovo ponašanje. Ako je ključ koji je dodeljen ranjiv, odgovarajući Altssečid bi morao da se ažurira u OGLASU.

Da li su neki domeni Windows Server 2016 (ili noviji) DFL?

Windows Server 2016 kontroleri domena podržavaju javni ključ šifrovanja za početnu potvrdu verodostojnosti u Kerberos (PKINIT) proširenju svežine [RFC 8070], iako nije po podrazumevanoj vrednosti. Kada se na kontrolerima domena u sistemu Windows Server 2016 DFL ili noviji domeni omogućiPodrška za proširenje PKInit -a, kontroleri domena dodaju dobro poznate Sid-FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) kada je proširenje uspešno Koristi. Za više informacija pogledajte Kerberos klijentsko i KDC podršku za RFC 8070 PKInit ekstenzija.

Računari sa zakrkom

Servisiranje Windows 10 računara koji imaju bezbednosne ispravke u oktobru 2017 ukloniće postojeći TPM ključ za akreditive. Windows će obezbediti samo one ključeve koji su zaštićeni akreditivima da bi se obezbedila zaštita tiketa za ključeve uređaja koji su pridruženi domenu. S obzirom na to da mnogi kupci dobro dodaju čuvar akreditiva posle priključenog domena na svoje računare, ova promena obezbeđuje da uređaji koji imaju omogućenu zaštitu od akreditiva mogu da obezbede da se sve tmp koje izdaje pomoću ključa za akreditive štite od strane čuvara akreditiva.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×