สรุป
ปัญหาด้านความปลอดภัยที่มีอยู่ในบาง chipsets Trusted Platform Module (TPM) ช่องโหว่ใน weakens ความแรงของคีย์
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ไปที่ADV170012
ข้อมูลเพิ่มเติม
ภาพรวม
ส่วนต่อไปนี้จะช่วยให้คุณระบุ บรรเทา เพื่อแก้ไขใน Active Directory Certificate Services (AD CS) -ออกใบรับรองและการร้องขอที่ได้รับผลกระทบ โดยช่องโหว่ที่ระบุในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoft .
กระบวนการลดมุ่งเน้นการออกใบรับรองที่ได้รับผลกระทบ โดยช่องโหว่ที่ระบุ และยัง มุ่งเน้นการยกเลิกนั้น
มีใบรับรอง x.509 ที่ออกภายในองค์กรของคุณที่ยึดตามแม่แบบที่ระบุ TPM KSP ได้อย่างไร
ถ้าองค์กรของคุณใช้ TPM KSP ก็มีแนวโน้มว่า สถานการณ์ที่มีการใช้ใบรับรองเหล่านี้เป็นช่องโหว่ที่ระบุไว้ในคำแนะนำความปลอดภัยควบคู่กัน
ลด
-
จนกว่าการปรับปรุงเฟิร์มแวร์ที่เหมาะสมจะพร้อมใช้งานสำหรับอุปกรณ์ของคุณ ปรับปรุงแม่แบบใบรับรองที่ถูกตั้งค่าให้ใช้ TPM KSP จะใช้ KSP ที่ใช้ซอฟต์แวร์ นี้จะป้องกันไม่ให้สร้างใบรับรองใด ๆ ในอนาคตที่ใช้ TPM KSP และมี ดังนั้น ความเสี่ยง สำหรับข้อมูลเพิ่มเติม ดูเฟิร์มแวร์ที่ปรับปรุงในบทความนี้
-
สร้างใบรับรองหรือการร้องขอ:
-
ใช้สคริปต์ควบเพื่อแสดงรายการทั้งหมดที่ออกใบรับรองที่อาจมีช่องโหว่
-
ยกเลิกใบรับรองเหล่านี้ ด้วยการส่งรายชื่อของหมายเลขประจำสินค้าที่คุณได้รับในขั้นตอนก่อนหน้านี้
-
บังคับใช้การลงทะเบียนใบรับรองใหม่โดยยึดตามการกำหนดค่าแม่แบบที่ระบุซอฟต์แวร์ KSP เดี๋ยวนี้
-
เรียกสถานการณ์ทั้งหมด โดยใช้ใบรับรองใหม่เมื่อใดก็ ตามคุณสามารถ
-
-
ใช้สคริปต์ควบเพื่อแสดงรายการทั้งหมดที่ร้องขอใบรับรองที่อาจมีความเสี่ยงต่อ:
-
ปฏิเสธการร้องขอใบรับรองทั้งหมดเหล่านี้
-
-
ใช้สคริปต์ควบเพื่อแสดงรายการใบรับรองที่หมดอายุทั้งหมด ตรวจสอบให้แน่ใจว่า สิ่งเหล่านี้นั้นไม่ใช่ใบรับรองการเข้ารหัสลับที่ใช้ในการถอดรหัสลับข้อมูลยังคงอยู่ ประกาศนียบัตรที่หมดอายุถูกเข้ารหัสลับหรือไม่
-
ถ้าใช่ ตรวจสอบให้แน่ใจว่า ข้อมูลจะถูกถอดรหัสลับ และเข้ารหัสลับ โดยใช้คีย์ใหม่ที่ใช้ออกใบรับรองที่ถูกสร้างขึ้น โดยใช้ซอฟต์แวร์ KSP แล้ว
-
ถ้าไม่ คุณสามารถละเว้นใบรับรอง
-
-
ตรวจสอบให้แน่ใจว่า ไม่มีกระบวนการที่ห้ามทำใบรับรองเหล่านี้ถูกเพิกถอนจากกำลัง unrevoked โดยไม่ได้ตั้งใจโดยผู้ดูแล
-
ตรวจสอบให้แน่ใจว่า ใบรับรอง KDC ใหม่เป็นไปตามวิธีปฏิบัติที่ดีที่สุดปัจจุบัน
ความเสี่ยง: เซิร์ฟเวอร์อื่น ๆ จำนวนมากอาจตรงกับเงื่อนไขการตรวจสอบตัวควบคุมโดเมนและการรับรองความถูกต้องของตัวควบคุมโดเมน ซึ่งสามารถนำเวกเตอร์โจมตี KDC สมบูรณ์ที่รู้จักกันดี
ด้าน
ตัวควบคุมโดเมนทั้งหมดควรจะออกใบรับรองที่มี KDC EKU เป็นส่วนที่ระบุไว้ใน [RFC 4556] 3.2.4 สำหรับโฆษณา CS ใช้แม่แบบการรับรองความถูกต้อง Kerberos และตั้งค่าคอนฟิกการให้ supersede อื่น ๆ KDC ใบรับรองใด ๆ ที่นำออกใช้
สำหรับข้อมูลเพิ่มเติม C ภาคผนวก [RFC 4556] อธิบายประวัติของแม่แบบใบรับรอง KDC ต่าง ๆ ใน Windows
เมื่อตัวควบคุมโดเมนทั้งหมดมีใบรับรองที่เข้ากันได้กับ RFC KDC, Windows สามารถปกป้องตัวเองโดยการเปิดใช้งานอย่างเคร่งครัด KDC ตรวจสอบใน Windows Kerberos.
หมายเหตุ โดยค่าเริ่มต้น คุณจะจำเป็นต้องใช้ Kerberos สาธารณะคีย์คุณลักษณะใหม่ ๆ
ตรวจสอบให้แน่ใจว่า ใบรับรองที่ถูกเพิกถอนล้มเหลวสถานการณ์จำลองที่เกี่ยวข้อง
โฆษณา CS จะใช้สำหรับสถานการณ์ต่าง ๆ ในองค์กร อาจจะใช้สำหรับ Wi Fi, VPN, KDC ตัว จัดการการตั้งค่าคอนฟิกศูนย์ระบบ และอื่น ๆ
ระบุสถานการณ์ต่าง ๆ ทั้งหมดในองค์กรของคุณ ตรวจสอบให้แน่ใจว่า สถานการณ์เหล่านี้จะล้มเหลวถ้ามีใบรับรองถูกเพิกถอน หรือคุณได้แทนที่ใบรับรองที่ถูกเพิกถอนทั้งหมดกับซอฟต์แวร์ที่ถูกต้องโดยใช้ใบรับรอง และสถานการณ์เป็นเสร็จเรียบร้อยแล้ว
ถ้าคุณกำลังใช้ OCSP หรือ CRLS เหล่านี้จะปรับปรุงทันทีที่จะหมดอายุ อย่างไรก็ตาม คุณจะต้องการปรับปรุง Crl แคชไว้ในคอมพิวเตอร์ทั้งหมด ถ้าของ OCSP อาศัย Crl ตรวจสอบให้แน่ใจว่า จะได้รับ Crl ที่ล่าสุดทันที
เพื่อให้แน่ใจว่า มีลบการแคช เรียกใช้คำสั่งต่อไปนี้บนคอมพิวเตอร์ที่ได้รับผลกระทบทั้งหมด:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
ปรับปรุงเฟิร์มแวร์
ติดตั้งการปรับปรุงที่นำออกใช้แล้ว โดย OEM เพื่อแก้ไขช่องโหว่ที่ใน TPM หลังจากที่มีการปรับปรุงระบบ คุณสามารถปรับปรุงแม่แบบใบรับรองจะใช้ TPM โดยใช้ KSP