Загальні відомості
Уразливість системи безпеки в деяких чіпсетах надійних платформи модуль TPM. Уразливість послаблює ключові сили. Щоб дізнатися більше про дефект, перейдіть на ADV170012.
Додаткові відомості
Огляд
Наступні розділи допоможуть виявити та виправити неполадки в доменах Active Directory (AD) і контролерів домену, які зазнають вразливості, описаної в Microsoft Security КОНСУЛЬТАТИВНОЇ ADV170012.
Цей процес потоків, орієнтований на такий сценарій з Active Directory, публічний ключ:
-
Комп'ютерні облікові дані, які приєдналися до домену
Відомості про відкликання та випуск нових сертифікатів KDC дивіться пом'якшення план для Active Directory сертифікат служби на основі сценаріїв.
Визначення облікових даних комп'ютера, який входить до домену, ключові ризик робочого циклу
У вас є контролери домену в ОС Windows Server 2016 (або пізнішої версії)?
Облікові дані, ключі було введено для Windows Server 2016 контролерів домену. Контролери домену додати відомі SID KEY_TRUST_IDENTITY (S-1-18-4), коли ключ облікових даних використовується для автентифікації. Раніше контролери домену не підтримують ключі облікових даних, тому оголошення не підтримує облікові дані ключових об'єктів, а контролери домену на рівні не можуть автентифікувати принципи за допомогою ключів облікових даних.
Раніше атрибут Altcalcta (часто називають altsecid), можна використовувати для забезпечення подібної поведінки. Підготовка Altssecid не підтримується спочатку Windows. Таким чином, вам буде потрібно рішення сторонніх виробників, який надає цю проблему. Якщо ключ, який підготовлено, є вразливим, відповідні altSsecID повинні бути оновлені в ОГОЛОШЕННІ.
Будь-які домени Windows Server 2016 (або пізнішої версії) DFL?
Контролери домену в ОС Windows Server 2016 підтримують криптографія з відкритим ключем для початкової автентифікації в Kerberos (PKINIT) розширення свіжості [RFC 8070], хоча і не за замовчуванням. Під часпідтримки для PKInit свіжість розширення увімкнуто, на контролерах домену в ОС Windows Server 2016 dfl або пізніших доменів, контролерів ДОМЕНУ, додайте відомі SID FRESH_PUBLIC_KEY_IDENTITY (S-1-18-3), коли розширення успішно Використовується. Щоб отримати додаткові відомості див клієнт Kerberos і KDC підтримки для RFC 8070 PKInit розширення свіжості.
Склеювання комп'ютерів
Обслуговування Windows 10 комп'ютери, які мають оновлення безпеки жовтня 2017 видалить наявний ключ облікових даних TPM. Windows буде лише надання облікових даних, захищених ключами, щоб забезпечити захист від-квиток для ключів пристрою до домену. Оскільки багато клієнтів додають облікових даних, а після приєднання до домену їх комп'ютерів, ця зміна гарантує, що пристрої, які мають облікових даних, що ввімкнуто, можна гарантувати, що будь-які TGTs, випущені за допомогою ключа облікових даних захищені облікових даних гвардії.
