ข้ามไปที่เนื้อหาหลัก
การสนับสนุน
ลงชื่อเข้าใช้
ลงชื่อเข้าใช้ด้วย Microsoft
ลงชื่อเข้าใช้หรือสร้างบัญชี
สวัสดี
เลือกบัญชีอื่น
คุณมีหลายบัญชี
เลือกบัญชีที่คุณต้องการลงชื่อเข้าใช้

สรุป

มีช่องโหว่ด้านความปลอดภัยอยู่ในชิปเซ็ตบางแพลตฟอร์ม Module (TPM) ที่เชื่อถือได้ ช่องโหว่ที่มีความสำคัญอ่อนแอ หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ที่ไปที่ADV170012

ข้อมูลเพิ่มเติม

ภาพรวม

ส่วนต่อไปนี้จะช่วยคุณระบุและแก้ไขปัญหาในโดเมน Active Directory (AD) และตัวควบคุมโดเมนที่ได้รับผลกระทบจากช่องโหว่ที่อธิบายไว้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoft

กระบวนการลดนี้มุ่งเน้นไปที่สถานการณ์จำลองของคีย์สาธารณะไดเรกทอรีที่ใช้งานอยู่ต่อไปนี้:

  • คีย์ข้อมูลประจำตัวของคอมพิวเตอร์ที่เข้าร่วมโดเมน

สำหรับข้อมูลเกี่ยวกับการเพิกถอนและการออกใบรับรอง KDC ใหม่โปรดดูที่การลดแผนสำหรับสถานการณ์จำลองที่ใช้บริการใบรับรองไดเรกทอรีที่มีอยู่

การกำหนดลำดับงานความเสี่ยงคีย์ข้อมูลประจำตัวของคอมพิวเตอร์เข้าร่วมโดเมน

กำหนดลำดับความเสี่ยงหลักของข้อมูลประจำตัวของคอมพิวเตอร์เข้าร่วมโดเมน

คุณมีตัวควบคุมโดเมน Windows Server ๒๐๑๖ (หรือใหม่กว่า) หรือไม่

คีย์ข้อมูลประจำตัวถูกนำมาใช้สำหรับการควบคุมโดเมนของ Windows Server ๒๐๑๖ ตัวควบคุมโดเมนเพิ่ม SID KEY_TRUST_IDENTITY ที่รู้จักกันดี (S-1-18-4) เมื่อมีใช้คีย์ข้อมูลประจำตัวในการรับรองความถูกต้อง ตัวควบคุมโดเมนก่อนหน้าไม่สนับสนุนคีย์ข้อมูลประจำตัวดังนั้นโฆษณาจึงไม่สนับสนุนวัตถุของคีย์ข้อมูลประจำตัวและตัวควบคุมโดเมนระดับล่างไม่สามารถรับรองความถูกต้องตามหลักการโดยใช้คีย์ข้อมูลประจำตัว

ก่อนหน้านี้altSecurityIdentities (มักเรียกว่าแอตทริบิวต์altsecid) สามารถใช้เพื่อให้ลักษณะการทำงานที่คล้ายกัน การเตรียมใช้งานAltssecidไม่ได้รับการสนับสนุนโดย Windows ดังนั้นคุณจำเป็นต้องมีโซลูชันของบริษัทอื่นที่มีลักษณะการทำงานนี้ ถ้าคีย์ที่เตรียมใช้งานมีความเสี่ยงจะต้องมีการอัปเดต altSsecID ที่สอดคล้องกันใน AD

โดเมนใดๆของ Windows Server ๒๐๑๖ (หรือใหม่กว่า) DFL หรือไม่

ตัวควบคุมโดเมน๒๐๑๖เซิร์ฟเวอร์ของ Windows สนับสนุนการเข้ารหัสคีย์สาธารณะสำหรับการรับรองความถูกต้องเบื้องต้นใน Kerberos (PKINIT) นามสกุลสด [RFC ๘๐๗๐] แม้ว่าจะไม่ใช่ตามค่าเริ่มต้น เมื่อมีการเปิดใช้งานการสนับสนุนสำหรับส่วนขยายความสด PKInitบนตัวควบคุมโดเมนใน Windows Server ๒๐๑๖ dfl หรือโดเมนที่ใหม่กว่าตัวควบคุมโดเมนเพิ่ม SID FRESH_PUBLIC_KEY_IDENTITY ที่รู้จักกันดี (S-1-18-3) เมื่อส่วนขยายเสร็จเรียบร้อยแล้ว ใช้ สำหรับข้อมูลเพิ่มเติมให้ดูไคลเอ็นต์ Kerberos และการสนับสนุน KDC สำหรับ RFC ๘๐๗๐ PKInit ส่วนขยายความสด

การปรับปรุงคอมพิวเตอร์

ให้บริการ Windows 10 คอมพิวเตอร์ที่มีการปรับปรุงการรักษาความปลอดภัย๒๐๑๗ตุลาคมจะเอาคีย์ข้อมูลประจำตัว TPM ที่มีอยู่ Windows จะจัดสรรคีย์เฉพาะสำหรับป้องกันข้อมูลประจำตัวเพื่อให้แน่ใจว่าการป้องกันบัตรผ่าน-ตั๋วสำหรับคีย์อุปกรณ์ที่เข้าร่วมโดเมน เนื่องจากลูกค้าจำนวนมากกำลังเพิ่มข้อมูลประจำตัว Guard ได้ดีหลังจากโดเมนเข้าร่วมคอมพิวเตอร์ของพวกเขาการเปลี่ยนแปลงนี้จะช่วยให้อุปกรณ์ที่มีการเปิดใช้งาน Credential Guard สามารถมั่นใจได้ว่า TGTs ใดๆที่ออกโดยใช้คีย์ข้อมูลประจำตัวจะได้รับการป้องกันโดยการป้องกันข้อมูลประจำตัว

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders

ข้อมูลนี้เป็นประโยชน์หรือไม่

คุณพึงพอใจกับคุณภาพภาษาเพียงใด
สิ่งที่ส่งผลต่อประสบการณ์ใช้งานของคุณ
เมื่อกดส่ง คำติชมของคุณจะถูกใช้เพื่อปรับปรุงผลิตภัณฑ์และบริการของ Microsoft ผู้ดูแลระบบ IT ของคุณจะสามารถรวบรวมข้อมูลนี้ได้ นโยบายความเป็นส่วนตัว

ขอบคุณสำหรับคำติชมของคุณ!

×