Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

Det finns ett säkerhetsproblem i vissa kretsuppsättningar för TPM (Trusted Platform Module). Sårbarheten försvagar nyckelstyrkan. Om du vill veta mer om säkerhetsproblemet går du till ADV170012.

Mer information

Översikt

Följande avsnitt hjälper dig att identifiera och åtgärda problem i Active Directory (AD)-domäner och domänkontrollanter som påverkas av det säkerhetsproblem som beskrivs i Microsoft Security Advisory ADV170012.

Den här begränsnings processen fokuserar på följande Active Directory offentlig nyckel scenario:

  • Domänanslutna datorn autentiseringsuppgifter nycklar

Information om hur du återkallar och utfärdar nya KDC-certifikat finns i begränsnings plan för Active Directory Certificate Services-baserade scenarier.

Fastställa domänansluten dator autentiseringsuppgifter nyckel risk arbetsflöde

Att fastställa domänansluten dator autentiseringsuppgifter för risk-arbetsflöde

Har du Windows Server 2016 (eller senare) domänkontrollanter?

Autentiseringsuppgifter nycklar introducerades för domänkontrollanter med Windows Server 2016. Domänkontrollanter lägga till välkända SID KEY_TRUST_IDENTITY (S-1-18-4) när en referensnyckel används för att autentisera. Tidigare domänkontrollanter har inte stöd för autentiseringsuppgifter nycklar, så att annonsen inte stöder autentiseringsuppgifter nyckelobjekt och äldre domänkontrollanter kan inte autentisera huvudkonton med hjälp av autentiseringsuppgifter nycklar.

Tidigare, den Altsecurityidentities (ofta kallad AltSecID) attributet kan användas för att ge liknande beteende. Etablering av Altssecid stöds inte inbyggt i Windows. Därför behöver du en lösning från tredje part som ger det här beteendet. Om nyckeln som etableras är sårbar, måste motsvarande altSsecID uppdateras i AD.

Är några domäner Windows Server 2016 (eller senare) DFL?

Windows Server 2016-domänkontrollanter stöder kryptering med offentlig nyckel för inledande autentisering i Kerberos (PKINIT) aktualitet förlängning [RFC 8070], men inte som standard. Närstöd för PKInit aktualitet tillägget är aktiverat på domänkontrollanter i Windows Server 2016 DFL eller senare domäner, domänkontrollanter lägga till välkända sid FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3) när tillägget har Används. Mer information finns i Kerberos-klient och KDC-stöd för RFC 8070 PKInit aktualitet förlängning.

Patchning av datorer

Underhålla Windows 10-datorer som har oktober 2017 säkerhetsuppdateringar tar bort den befintliga nyckeln TPM-autentiseringsuppgifter. Windows kommer endast att etablera Credential Guard-skyddade nycklar för att säkerställa pass-The-Ticket skydd för domänanslutna enhetsnycklar. Eftersom många kunder lägger till autentiseringsuppgifter Guard väl efter domän-ansluta sina datorer, den här ändringen säkerställer att enheter som har Credential Guard aktiverat kan se till att alla TGTs som utfärdats med hjälp av nyckeln autentiseringsuppgifter skyddas av Credential Guard.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×