Uygulandığı Öğe
Windows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Özet

Güvenilir Platform Modülü (TPM) yonga belirli bir güvenlik açığı bulunmaktadır. Bu güvenlik açığı, anahtar gücü düzeyini düşürür.Bu güvenlik açığı hakkında daha fazla bilgi için ADV170012gidin.

Daha fazla bilgi

Genel bakış

Aşağıdaki bölümlerde tanımlamak, azaltmak ve Active Directory Sertifika Hizmetleri (AD CS) çözmek için yardımcı olacak-verilen sertifikaları ve istekleri Microsoft Güvenlik danışma belgesi ADV170012 ' de belirtilen güvenlik açığından etkilenen .

Risk azaltma işlemi tanımlayan güvenlik açığından etkilenir verilen sertifikaları üzerinde odaklanır ve de iptal etme üzerinde odaklanır.

TPM KSP belirten bir şablonu temel alarak, kuruluşunuz içinde verilen x.509 sertifikaları misiniz?

Kuruluşunuz TPM KSP kullanıyorsa, bu sertifikalar kullanılmakta olan senaryolar için güvenlik danışma belgesi tanımlanan güvenlik açığını açıktır olasıdır.

Risk azaltma

  1. Aygıtınız için uygun bir bellenim güncelleştirmesi yayımlanıncaya kadar bir yazılım tabanlı KSP kullanmak için TPM KSP kullanmak için ayarlanmış olan sertifika şablonlarına güncelleştirin. Bu güvenlik açığı bulunan TPM KSP ve bu, bu nedenle, kullandığınız herhangi bir gelecekte sertifika oluşturma engeller. Daha fazla bilgi için bu makalenin sonraki bölümlerinde bellenimini güncelleştirmek bkz.

  2. İçin zaten sertifikaları ve istekleri oluşturulur:

    1. Savunmasız olabilir verilen sertifikaların listelemek için iliştirilmiş komut dosyasını kullanın.

      1. Önceki adımda elde ettiğiniz seri numaralarının listesini ileterek bu sertifikaları iptal.

      2. Şimdi yazılım KSP belirleyen şablonu yapılandırmasına bağlı olarak, yeni sertifika kaydı zorunlu.

      3. Tüm senaryoları şunları yapabilirsiniz her yerde yeni sertifikalar kullanarak yeniden çalıştırın.

    2. Güvenlik açığından etkilenebilir istenen sertifikaları listelemek için iliştirilmiş komut dosyasını kullanın:

      1. Tüm sertifika isteklerini reddeder.

    3. Süresi dolan sertifikaları listelemek için iliştirilmiş komut dosyasını kullanın. Bunlar, verilerin şifresini çözmek için kullanılan şifrelenmiş sertifikaları olmadığınızdan emin olun. Süresi dolan sertifikaları şifrelenir?

      1. Evet ise, veri şifresi ve sonra kapalı yazılım KSP kullanılarak oluşturulan bir sertifika tabanlı yeni bir anahtar kullanılarak şifrelenmiş emin olun.

      2. Öyle değilse, sertifikaları güvenle yok sayabilirsiniz.

    4. Bu iptal edilen sertifikaları yanlışlıkla yönetici tarafından iptali geri dan yasaklayan bir işlem olduğundan emin olun.

Yeni KDC sertifikası geçerli en iyi yöntemler sağladığınızdan emin olun

Risk: Birçok sunucu etki alanı denetleyicisini ve etki alanı denetleyicisi kimlik doğrulaması doğrulama ölçütlerine. Bu iyi bilinen rogue KDC saldırı vektörlerinin ortaya çıkarabilir.

Düzeltme

Tüm etki alanı denetleyicilerine 3.2.4 [RFC 4556]'de belirtilen bölüm olarak KDC EKU olan sertifikalar. AD CS için Kerberos kimlik doğrulamasını şablonu kullanabilir ve verilmiş herhangi bir KDC sertifikası başkasıyla değiştirmek için yapılandırın.

Daha fazla bilgi için Windows çeşitli KDC sertifikası şablonları geçmişini [RFC 4556] ek C açıklar.

Windows tüm etki alanı denetleyicilerine RFC uyumlu KDC sertifikası varsa kendisi Katı KDC doğrulamayı etkinleştirme Windows Kerberostarafından. koruyabilirsiniz

Not: Varsayılan olarak, yeni Kerberos ortak anahtar özelliklerini gerekli olacaktır.

İptal edilen sertifikaların ilgili senaryo başarısız olduğundan emin olun

AD CS'yi kuruluş çeşitli senaryolarda kullanılır. Wi-Fi, VPN, KDC, System Center Configuration Manager ve benzerleri için kullanılabilir.

Kuruluşunuzdaki tüm senaryoları tanımlar. Bu senaryolar, sahip oldukları iptal edilen sertifikaları veya sertifikaların geçerli yazılımı ile değiştirilen tüm iptal edilen sertifikaların temel başarısız olur ve senaryoları başarılı olduğundan emin olun.

OCSP veya CRL'ler kullanıyorsanız, bunların kullanım süresi dolduğu anda bunlar güncelleştirir. Ancak, genellikle tüm bilgisayarlarda önbelleğe alınan CRL güncelleştirmek istediğiniz. CRL, OCSP dayalıysa, bu hemen son CRL'leri aldığına emin olun.

Önbellekleri silinmediğinden emin olmak için tüm etkilenen bilgisayarlarda aşağıdaki komutları çalıştırın:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now

Bellenim güncelleştirmesi

TPM güvenlik açığını düzeltmek için OEM tarafından yayımlanan güncelleştirmeyi yükleyin. Sistem güncelleştirildikten sonra TPM tabanlı KSP sertifika şablonlarını güncelleştirebilirsiniz.

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi