Özet
Belirli Güvenilir Platform Modülü (TPM) yonga setlerinde bir güvenlik açığı vardır. Güvenlik açığı kilit gücü zayıflatır. Güvenlik açığı hakkında daha fazla bilgi edinmek için ADV170012'yegidin.
Ek Bilgi
Genel bakış
Aşağıdaki bölümler, Etkin Dizin (AD) etki alanlarında ve Microsoft Güvenlik Danışma Yardımcısı170012'deaçıklanan güvenlik açığından etkilenen etki alanı denetleyicilerinde sorunları belirlemenize ve çözmenize yardımcı olacaktır.
Bu azaltma işlemi aşağıdaki Active Directory ortak anahtar senaryosuna odaklanır:
-
Etki alanı birleştirilmiş bilgisayar kimlik bilgileri anahtarları
Yeni KDC sertifikalarının iptali ve verilmesi hakkında bilgi için, Etkin Dizin Sertifikası Hizmetleri tabanlı senaryolar için Azaltma Planı'nabakın.
Etki alanı birleştirilmiş bilgisayar kimlik bilgileri anahtar risk iş akışını belirleme
Windows Server 2016 (veya sonraki) etki alanı denetleyicileri var mı?
Windows Server 2016 etki alanı denetleyicileri için kimlik bilgileri anahtarları tanıtıldı. Etki alanı denetleyicileri, kimlik doğrulama için bir kimlik bilgisi anahtarı kullanıldığında tanınmış SID KEY_TRUST_IDENTITY 'i (S-1-18-4) ekler. Önceki etki alanı denetleyicileri kimlik bilgileri anahtarlarını desteklemediği için AD kimlik bilgisi anahtar nesnelerini desteklemez ve alt düzey etki alanı denetleyicileri kimlik bilgileri anahtarlarını kullanarak ilkelerin kimliğini doğrulayamamaktadır.
Daha önce, altSecurityIdentities (sık sık altSecIDolarak anılacaktır) özniteliği benzer davranış sağlamak için kullanılabilir. altSsecID sağlama, windows tarafından yerel olarak desteklenmez. Bu nedenle, bu davranışı sağlayan bir üçüncü taraf çözüm gerekir. Sağlanan anahtar savunmasızsa, ilgili altSsecID'nin AD'de güncelleştirilmesi gerekir.
Windows Server 2016 (veya sonraki) DFL alan adları var mı?
Windows Server 2016 etki alanı denetleyicileri, varsayılan olarak olmasa da Kerberos 'ta (PKINIT) Tazelik Uzantısı [RFC 8070]'de İlk Kimlik Doğrulama için Ortak Anahtar Şifreleme'yi destekler. Windows Server 2016 DFL veya sonraki etki alanlarındaki etki alanı denetleyicilerindePKInit Freshness Extension desteği etkinleştirildiğinde, etki alanı denetleyicileri uzantısı başarılı bir şekilde olduğunda tanınmış SID FRESH_PUBLIC_KEY_IDENTITY'i (S-1-18-3) eklerler Kullanılan. Daha fazla bilgi için RFC 8070 PKInit Freshness Extension için Kerberos istemcisi ve KDC desteğinebakın.
Bilgisayarları yama
Ekim 2017 güvenlik güncelleştirmeleri olan Windows 10 bilgisayarlarına hizmet vermek, varolan TPM kimlik bilgisi anahtarını kaldırır. Windows, etki alanına katılan aygıt anahtarları için Bilet Atlama koruması sağlamak için yalnızca Kimlik Bilgisi Koruması korumalı anahtarları sağlar. Birçok müşteri bilgisayarlarına katıldıktan sonra kimlik bilgisi koruması eklediğinden, bu değişiklik, Kimlik Bilgisi Koruması etkinleştirilmiş aygıtlara sahip aygıtların kimlik bilgisi anahtarı kullanılarak verilen tgt'lerin Kimlik Bilgisi Koruması tarafından korunmasını sağlar.