สรุป
มีช่องโหว่ด้านความปลอดภัยอยู่ในชิปเซ็ตบางแพลตฟอร์ม Module (TPM) ที่เชื่อถือได้ ช่องโหว่ที่มีความสำคัญอ่อนแอ หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ที่ไปที่ADV170012
ข้อมูลเพิ่มเติม
ภาพรวม
ส่วนต่อไปนี้จะช่วยคุณระบุและแก้ไขปัญหาในโดเมน Active Directory (AD) และตัวควบคุมโดเมนที่ได้รับผลกระทบจากช่องโหว่ที่อธิบายไว้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoft
กระบวนการลดนี้มุ่งเน้นไปที่สถานการณ์จำลองของคีย์สาธารณะไดเรกทอรีที่ใช้งานอยู่ต่อไปนี้:
-
คีย์ข้อมูลประจำตัวของคอมพิวเตอร์ที่เข้าร่วมโดเมน
สำหรับข้อมูลเกี่ยวกับการเพิกถอนและการออกใบรับรอง KDC ใหม่โปรดดูที่การลดแผนสำหรับสถานการณ์จำลองที่ใช้บริการใบรับรองไดเรกทอรีที่มีอยู่
การกำหนดลำดับงานความเสี่ยงคีย์ข้อมูลประจำตัวของคอมพิวเตอร์เข้าร่วมโดเมน
คุณมีตัวควบคุมโดเมน Windows Server ๒๐๑๖ (หรือใหม่กว่า) หรือไม่
คีย์ข้อมูลประจำตัวถูกนำมาใช้สำหรับการควบคุมโดเมนของ Windows Server ๒๐๑๖ ตัวควบคุมโดเมนเพิ่ม SID KEY_TRUST_IDENTITY ที่รู้จักกันดี (S-1-18-4) เมื่อมีใช้คีย์ข้อมูลประจำตัวในการรับรองความถูกต้อง ตัวควบคุมโดเมนก่อนหน้าไม่สนับสนุนคีย์ข้อมูลประจำตัวดังนั้นโฆษณาจึงไม่สนับสนุนวัตถุของคีย์ข้อมูลประจำตัวและตัวควบคุมโดเมนระดับล่างไม่สามารถรับรองความถูกต้องตามหลักการโดยใช้คีย์ข้อมูลประจำตัว
ก่อนหน้านี้altSecurityIdentities (มักเรียกว่าแอตทริบิวต์altsecid) สามารถใช้เพื่อให้ลักษณะการทำงานที่คล้ายกัน การเตรียมใช้งานAltssecidไม่ได้รับการสนับสนุนโดย Windows ดังนั้นคุณจำเป็นต้องมีโซลูชันของบริษัทอื่นที่มีลักษณะการทำงานนี้ ถ้าคีย์ที่เตรียมใช้งานมีความเสี่ยงจะต้องมีการอัปเดต altSsecID ที่สอดคล้องกันใน AD
โดเมนใดๆของ Windows Server ๒๐๑๖ (หรือใหม่กว่า) DFL หรือไม่
ตัวควบคุมโดเมน๒๐๑๖เซิร์ฟเวอร์ของ Windows สนับสนุนการเข้ารหัสคีย์สาธารณะสำหรับการรับรองความถูกต้องเบื้องต้นใน Kerberos (PKINIT) นามสกุลสด [RFC ๘๐๗๐] แม้ว่าจะไม่ใช่ตามค่าเริ่มต้น เมื่อมีการเปิดใช้งานการสนับสนุนสำหรับส่วนขยายความสด PKInitบนตัวควบคุมโดเมนใน Windows Server ๒๐๑๖ dfl หรือโดเมนที่ใหม่กว่าตัวควบคุมโดเมนเพิ่ม SID FRESH_PUBLIC_KEY_IDENTITY ที่รู้จักกันดี (S-1-18-3) เมื่อส่วนขยายเสร็จเรียบร้อยแล้ว ใช้ สำหรับข้อมูลเพิ่มเติมให้ดูไคลเอ็นต์ Kerberos และการสนับสนุน KDC สำหรับ RFC ๘๐๗๐ PKInit ส่วนขยายความสด
การปรับปรุงคอมพิวเตอร์
ให้บริการ Windows 10 คอมพิวเตอร์ที่มีการปรับปรุงการรักษาความปลอดภัย๒๐๑๗ตุลาคมจะเอาคีย์ข้อมูลประจำตัว TPM ที่มีอยู่ Windows จะจัดสรรคีย์เฉพาะสำหรับป้องกันข้อมูลประจำตัวเพื่อให้แน่ใจว่าการป้องกันบัตรผ่าน-ตั๋วสำหรับคีย์อุปกรณ์ที่เข้าร่วมโดเมน เนื่องจากลูกค้าจำนวนมากกำลังเพิ่มข้อมูลประจำตัว Guard ได้ดีหลังจากโดเมนเข้าร่วมคอมพิวเตอร์ของพวกเขาการเปลี่ยนแปลงนี้จะช่วยให้อุปกรณ์ที่มีการเปิดใช้งาน Credential Guard สามารถมั่นใจได้ว่า TGTs ใดๆที่ออกโดยใช้คีย์ข้อมูลประจำตัวจะได้รับการป้องกันโดยการป้องกันข้อมูลประจำตัว