Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Özet

Güvenilir Platform Modülü (TPM) yonga belirli bir güvenlik açığı bulunmaktadır. Bu güvenlik açığı, anahtar gücü düzeyini düşürür.

Bu güvenlik açığı hakkında daha fazla bilgi için ADV170012gidin.

Daha fazla bilgi

Genel bakış

Aşağıdaki bölümlerde tanımlamak, azaltmak ve Active Directory Sertifika Hizmetleri (AD CS) çözmek için yardımcı olacak-verilen sertifikaları ve istekleri Microsoft Güvenlik danışma belgesi ADV170012 ' de belirtilen güvenlik açığından etkilenen .

Risk azaltma işlemi tanımlayan güvenlik açığından etkilenir verilen sertifikaları üzerinde odaklanır ve de iptal etme üzerinde odaklanır.

TPM KSP belirten bir şablonu temel alarak, kuruluşunuz içinde verilen x.509 sertifikaları misiniz?

Kuruluşunuz TPM KSP kullanıyorsa, bu sertifikalar kullanılmakta olan senaryolar için güvenlik danışma belgesi tanımlanan güvenlik açığını açıktır olasıdır.


Risk azaltma

  1. Aygıtınız için uygun bir bellenim güncelleştirmesi yayımlanıncaya kadar bir yazılım tabanlı KSP kullanmak için TPM KSP kullanmak için ayarlanmış olan sertifika şablonlarına güncelleştirin. Bu güvenlik açığı bulunan TPM KSP ve bu, bu nedenle, kullandığınız herhangi bir gelecekte sertifika oluşturma engeller. Daha fazla bilgi için bu makalenin sonraki bölümlerinde bellenimini güncelleştirmek bkz.

  2. İçin zaten sertifikaları ve istekleri oluşturulur:

    1. Savunmasız olabilir verilen sertifikaların listelemek için iliştirilmiş komut dosyasını kullanın.

      1. Önceki adımda elde ettiğiniz seri numaralarının listesini ileterek bu sertifikaları iptal.

      2. Şimdi yazılım KSP belirleyen şablonu yapılandırmasına bağlı olarak, yeni sertifika kaydı zorunlu.

      3. Tüm senaryoları şunları yapabilirsiniz her yerde yeni sertifikalar kullanarak yeniden çalıştırın.

    2. Güvenlik açığından etkilenebilir istenen sertifikaları listelemek için iliştirilmiş komut dosyasını kullanın:

      1. Tüm sertifika isteklerini reddeder.

    3. Süresi dolan sertifikaları listelemek için iliştirilmiş komut dosyasını kullanın. Bunlar, verilerin şifresini çözmek için kullanılan şifrelenmiş sertifikaları olmadığınızdan emin olun. Süresi dolan sertifikaları şifrelenir?

      1. Evet ise, veri şifresi ve sonra kapalı yazılım KSP kullanılarak oluşturulan bir sertifika tabanlı yeni bir anahtar kullanılarak şifrelenmiş emin olun.

      2. Öyle değilse, sertifikaları güvenle yok sayabilirsiniz.

    4. Bu iptal edilen sertifikaları yanlışlıkla yönetici tarafından iptali geri dan yasaklayan bir işlem olduğundan emin olun.


Yeni KDC sertifikası geçerli en iyi yöntemler sağladığınızdan emin olun

Risk: Birçok sunucu etki alanı denetleyicisini ve etki alanı denetleyicisi kimlik doğrulaması doğrulama ölçütlerine. Bu iyi bilinen rogue KDC saldırı vektörlerinin ortaya çıkarabilir.


Düzeltme

Tüm etki alanı denetleyicilerine 3.2.4 [RFC 4556]'de belirtilen bölüm olarak KDC EKU olan sertifikalar. AD CS için Kerberos kimlik doğrulamasını şablonu kullanabilir ve verilmiş herhangi bir KDC sertifikası başkasıyla değiştirmek için yapılandırın.

Daha fazla bilgi için Windows çeşitli KDC sertifikası şablonları geçmişini [RFC 4556] ek C açıklar.

Windows tüm etki alanı denetleyicilerine RFC uyumlu KDC sertifikası varsa kendisi Katı KDC doğrulamayı etkinleştirme Windows Kerberostarafından. koruyabilirsiniz

Not: Varsayılan olarak, yeni Kerberos ortak anahtar özelliklerini gerekli olacaktır.


İptal edilen sertifikaların ilgili senaryo başarısız olduğundan emin olun

AD CS'yi kuruluş çeşitli senaryolarda kullanılır. Wi-Fi, VPN, KDC, System Center Configuration Manager ve benzerleri için kullanılabilir.

Kuruluşunuzdaki tüm senaryoları tanımlar. Bu senaryolar, sahip oldukları iptal edilen sertifikaları veya sertifikaların geçerli yazılımı ile değiştirilen tüm iptal edilen sertifikaların temel başarısız olur ve senaryoları başarılı olduğundan emin olun.

OCSP veya CRL'ler kullanıyorsanız, bunların kullanım süresi dolduğu anda bunlar güncelleştirir. Ancak, genellikle tüm bilgisayarlarda önbelleğe alınan CRL güncelleştirmek istediğiniz. CRL, OCSP dayalıysa, bu hemen son CRL'leri aldığına emin olun.

Önbellekleri silinmediğinden emin olmak için tüm etkilenen bilgisayarlarda aşağıdaki komutları çalıştırın:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Bellenim güncelleştirmesi

TPM güvenlik açığını düzeltmek için OEM tarafından yayımlanan güncelleştirmeyi yükleyin. Sistem güncelleştirildikten sonra TPM tabanlı KSP sertifika şablonlarını güncelleştirebilirsiniz.

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×