Sammanfattning
Det finns ett säkerhetsproblem i vissa kretsuppsättningar för TPM (Trusted Platform Module). Sårbarheten försvagar nyckelstyrkan. Om du vill veta mer om säkerhetsproblemet går du till ADV170012.
Mer information
Översikt
Följande avsnitt hjälper dig att identifiera och åtgärda problem i Active Directory (AD)-domäner och domänkontrollanter som påverkas av det säkerhetsproblem som beskrivs i Microsoft Security Advisory ADV170012.
Den här begränsnings processen fokuserar på följande Active Directory offentlig nyckel scenario:
-
Domänanslutna datorn autentiseringsuppgifter nycklar
Information om hur du återkallar och utfärdar nya KDC-certifikat finns i begränsnings plan för Active Directory Certificate Services-baserade scenarier.
Fastställa domänansluten dator autentiseringsuppgifter nyckel risk arbetsflöde
Har du Windows Server 2016 (eller senare) domänkontrollanter?
Autentiseringsuppgifter nycklar introducerades för domänkontrollanter med Windows Server 2016. Domänkontrollanter lägga till välkända SID KEY_TRUST_IDENTITY (S-1-18-4) när en referensnyckel används för att autentisera. Tidigare domänkontrollanter har inte stöd för autentiseringsuppgifter nycklar, så att annonsen inte stöder autentiseringsuppgifter nyckelobjekt och äldre domänkontrollanter kan inte autentisera huvudkonton med hjälp av autentiseringsuppgifter nycklar.
Tidigare, den Altsecurityidentities (ofta kallad AltSecID) attributet kan användas för att ge liknande beteende. Etablering av Altssecid stöds inte inbyggt i Windows. Därför behöver du en lösning från tredje part som ger det här beteendet. Om nyckeln som etableras är sårbar, måste motsvarande altSsecID uppdateras i AD.
Är några domäner Windows Server 2016 (eller senare) DFL?
Windows Server 2016-domänkontrollanter stöder kryptering med offentlig nyckel för inledande autentisering i Kerberos (PKINIT) aktualitet förlängning [RFC 8070], men inte som standard. Närstöd för PKInit aktualitet tillägget är aktiverat på domänkontrollanter i Windows Server 2016 DFL eller senare domäner, domänkontrollanter lägga till välkända sid FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) när tillägget har Används. Mer information finns i Kerberos-klient och KDC-stöd för RFC 8070 PKInit aktualitet förlängning.
Patchning av datorer
Underhålla Windows 10-datorer som har oktober 2017 säkerhetsuppdateringar tar bort den befintliga nyckeln TPM-autentiseringsuppgifter. Windows kommer endast att etablera Credential Guard-skyddade nycklar för att säkerställa pass-The-Ticket skydd för domänanslutna enhetsnycklar. Eftersom många kunder lägger till autentiseringsuppgifter Guard väl efter domän-ansluta sina datorer, den här ändringen säkerställer att enheter som har Credential Guard aktiverat kan se till att alla TGTs som utfärdats med hjälp av nyckeln autentiseringsuppgifter skyddas av Credential Guard.