Gäller för
Windows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Sammanfattning

Det finns ett säkerhetsproblem i vissa kretsuppsättningar Trusted Platform Module (TPM). Säkerhetsproblemet gör mindre restriktiv nyckellängd.Om du vill veta mer om det här säkerhetsproblemet kan du gå till ADV170012.

Mer Information

Översikt

Avsnitten nedan hjälper dig att identifiera, minska och undanröja Active Directory-certifikattjänster (AD CS)-utfärdade certifikat och begäranden som påverkades av det säkerhetsproblem som beskrivs i Microsoft Security Advisory ADV170012 .

Säkerhetsfunktionen processen fokuserar på att identifiera de utfärdade certifikaten som påverkas av problemet och även fokuserar på återkalla dem.

Är x.509-certifikat som har utfärdats i ditt företag baserat på en mall som anger TPM KSP?

Om ditt företag använder TPM KSP, är det troligt att scenarier där dessa certifikat som används är mottagliga för den säkerhetslucka som beskrivs i säkerhetsrekommendationen.

Säkerhetsfunktionen

  1. Uppdatera certifikatmallar som är inställda på att använda en programvarubaserad KSP TPM KSP tills en lämplig firmware uppdatering är tillgänglig för enheten. Förhindra att skapa eventuella framtida certifikat som använder TPM KSP och är, därför sårbara. Mer information finns i Uppdatera Firmware senare i den här artikeln.

  2. Redan skapat certifikat eller förfrågningar:

    1. Använd det medföljande skriptet för att lista alla utfärdade certifikat som kan vara sårbara.

      1. Återkalla dessa certifikat genom att skicka en lista över serienummer som du fått i tidigare steg.

      2. Framtvinga registrering av nya certifikat baserat på mallkonfigurationen som nu anger programvara KSP.

      3. Kör alla scenarier med hjälp av nya certifikat där du kan.

    2. Använd medföljande skriptet för att lista alla begärda intyg som kan vara sårbara:

      1. Avvisa alla dessa certifikatbegäranden.

    3. Använd det medföljande skriptet om du vill visa utgångna intyg. Se till att dessa inte är krypterade certifikat som fortfarande används för att dekryptera data. Krypteras utgångna intyg

      1. Om Ja, kontrollera data dekrypteras och sedan krypteras med hjälp av en ny nyckel baserat på ett certifikat som skapats med hjälp av programvara KSP.

      2. Om Nej, kan du bortse certifikat.

    4. Kontrollera att det är en process som förbjuder dessa återkallade certifikat från att av misstag upphävde återkallningen av administratören.

Kontrollera att nya KDC-certifikat uppfyller gällande bästa praxis

Risk: Många servrar kan uppfylla kriterier för domänkontrollant och autentisering av domänkontrollant kontroll. Detta kan leda till välkända falska KDC angreppsvägarna.

Hjälpåtgärder

Alla domänkontrollanter bör utfärdas certifikat som har KDC EKU, som anges i [RFC 4556] avsnitt 3.2.4. Använd mallen för Kerberos-autentisering för AD CS och konfigurerar den för att ersätta andra KDC-certifikat som utfärdats.

Mer information beskrivs [RFC 4556] bilaga C historik över olika KDC certifikatmallar i Windows.

När RFC-kompatibla KDC-certifikat måste alla domänkontrollanter kan Windows skydda sig genom Att aktivera strikt KDC valideringen i Windows Kerberos.

Obs!  Nyare Kerberos offentliga nyckel funktioner kommer att krävas som standard.

Kontrollera att återkallade certifikat misslyckas respektive scenario

AD CS används för olika scenarier i en organisation. Den kan användas för Wi-Fi, VPN, KDC, System Center Konfigurationshanteraren och så vidare.

Identifiera alla scenarier i organisationen. Kontrollera dessa scenarier misslyckas om de har återkallat certifikat eller om du har ersatt alla återkallade certifikat med giltig programvara baserat på certifikat och att de är felfria.

Om du använder OCSP- eller listor över återkallade certifikat, uppdateras dessa så snart de upphör att gälla. Du vanligtvis vill uppdatera cachelagrade CRL på alla datorer. Om din OCSP är beroende av listor över återkallade certifikat, kontrollerar du att de senaste listor över återkallade certifikat hämtas omedelbart.

Se till att cache tas bort genom att köra följande kommandon på alla aktuella datorer:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now

Uppdatering av inbyggd programvara

Installera uppdateringen från OEM-tillverkaren för att åtgärda säkerhetsproblemet i TPM: en. Du kan uppdatera certifikatmallar du vill använda TPM-baserade KSP efter att systemet har uppdaterats.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter