Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Загальні відомості

Уразливість системи безпеки в певних надійних платформи модуль TPM, Набори мікросхем. Уразливість послаблює, основні сили.

Щоб дізнатися більше про цей дефект, перейдіть до ADV170012.

Додаткові відомості

Огляд

У наведених нижче розділах, допоможуть вам визначити ймовірність та усунення Active Directory служби сертифікації (AD CS)-сертифікати, а також запити, пов'язані з вразливості, визначений Microsoft Security питань-ADV170012 .

Зменшення процес розглянуто визначення випущено сертифікати, де діють вразливості і також розглянуто скасування, їх.

Чи сертифікатів x. 509, які випускаються, всередині вашого підприємства, на основі шаблону, який визначає TPM KSP?

На підприємстві, які використовують TPM KSP, цілком імовірно, що сценарії, в яких використовуються сертифікатів схильні вразливості, що в ній.


Зменшення

  1. До пристрою оновлення мікропрограми, відповідно, оновлення, шаблони сертифікатів, налаштовані за допомогою TPM KSP використання KSP, під керуванням програмного забезпечення. Це запобігає створення будь-яких майбутніх сертифікати TPM KSP і вони, скористайтеся таким чином, вразливі. Щоб отримати додаткові відомості див. мікропрограми, оновіть далі в цій статті.

  2. Для вже створено сертифікатів або запити:

    1. За допомогою сценарію, що додаються список випущено сертифікати, що може бути вразливим.

      1. Відкликання сертифікатів, за допомогою передавання перелік порядкових номерів, який ви отримали, на попередньому етапі.

      2. Застосування нових сертифікатів, залежно від шаблон конфігурації, який зараз вказує на забезпечення KSP реєстрації.

      3. За допомогою нового сертифікати, де ви можете, відбувається усіх сценаріях.

    2. Список запитаний сертифікати, що може бути вразливим за допомогою сценарію, що додаються:

      1. Відхилення всі ці запити сертифіката.

    3. Використовувати сценарій, що додаються до списку минув сертифікати. Переконайтеся, що вони не зашифровані сертифікати використовуються розшифрувати дані. Минув сертифікати зашифровані?

      1. Якщо так, переконайтеся, що, дані розшифрувати а потім зашифровані за допомогою нового ключа, залежить від сертифікат, створені за допомогою програмного забезпечення, KSP.

      2. Якщо ні, можна безпечно ігнорувати сертифікати.

    4. Переконайтеся, що це процес, який забороняє цих відкликаних сертифікатів, що випадково unrevoked, адміністратор.


Переконайтеся, що новий KDC-сертифікати, відповідають поточний поради щодо ефективного використання

Ризик: Багато інших серверах, може відповідає умовам перевірки контролеру домену і автентифікації на контролері домену. Це може ввести, відомі ізгоїв KDC-атака векторів.


Відновлення

Усі контролери видається за сертифікати, які у ключ EKU KDC, як зазначено в [RFC 4556]-розділ 3.2.4. Служба сертифікації AD CS використовувати автентифікацію Kerberos шаблон і налаштувати замінює інші KDC сертифікати, які було випущено.

Щоб отримати додаткові відомості [RFC 4556] Додатку C пояснюється, історії різні шаблони сертифікатів KDC в ОС Windows.

Коли всіх контролерах домену сумісні з RFC KDC сертифікати, Windows можна захистити себе, Дозволяючи суворий KDC перевірки автентичності для ОС Windows Kerberos.

Примітка. За промовчанням нові Kerberos спільних основні функції знадобиться.


Переконайтеся, що відкликаних сертифікатів не можуть відповідний сценарій

AD CS використовується різні сценарії в організації. Може використовуватися для Wi-Fi, VPN, KDC System Center Configuration Manager і т. д.

Перевірка всіх сценаріях, у вашій організації. Переконайтеся, що цих сценаріях не вдасться, якщо вони мають відкликаних сертифікатів, або ви замінили відкликаних сертифікатів програмне забезпечення для дійсний, на основі сертифікатів, і що сценарії успішно.

Якщо ви використовуєте OCSP або CRL, який був, це оновлення одразу після завершення терміну дії. Проте, які зазвичай потрібно оновити кешування CRL, на всіх комп'ютерах. Якщо у вашому OCSP використовує CRL, переконайтеся, що його отримує останні CRL відразу.

Щоб переконатися, що видаляються з кеша, виконайте такі команди, на всіх комп'ютерах впливу:

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


Оновлення мікропрограми

Інсталюйте оновлення, випущеного ПОТ для виправлення вразливості в TPM. Після того, як оновити систему можна оновити для використання KSP із інтерфейсом користувача на основі TPM, шаблони сертифікатів.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×