Tóm tắt
Lỗ hổng bảo mật tồn tại trong một số chipset Trusted Platform Module (TPM). Lỗ hổng làm suy yếu sức mạnh quan trọng.
Để tìm hiểu thêm về các lỗ hổng bảo mật này, hãy đi tới ADV170012.
Thông tin
Tổng quan
Phần sau đây sẽ giúp bạn xác định, giảm thiểu và sửa chữa dịch vụ chứng chỉ Active Directory (AD CS)-cấp chứng chỉ và yêu cầu bị ảnh hưởng bởi lỗ hổng bảo mật được xác định trong Microsoft Security ADV170012 tư vấn .
Giảm thiểu quá trình tập trung vào việc xác định cấp chứng chỉ bị ảnh hưởng bởi lỗ hổng bảo mật và cũng tập trung vào việc thu hồi chúng.
Là chứng nhận x.509 được cung cấp trong doanh nghiệp dựa trên một mẫu chỉ định TPM KSP?
Nếu doanh nghiệp của bạn sử dụng TPM KSP, có thể có tình huống trong đó các chứng chỉ này đang được sử dụng dễ bị lỗ hổng bảo mật được xác định trong tư vấn bảo mật.
Giảm thiểu
-
Cho đến khi bản cập nhật phần mềm thích hợp có sẵn cho điện thoại, Cập Nhật mẫu chứng chỉ được đặt để sử dụng TPM KSP sử dụng phần mềm dựa trên KSP. Điều này sẽ ngăn tạo bất kỳ chứng chỉ trong tương lai sử dụng TPM KSP và được, do đó, dễ. Để biết thêm thông tin, xem phần mềm Cập Nhật sau đó trong bài viết này.
-
Để tạo chứng chỉ hoặc yêu cầu:
-
Sử dụng kèm theo liệt kê tất cả các chứng chỉ đã phát hành có thể bị.
-
Thu hồi chứng chỉ này bằng cách đi qua danh sách các số mà bạn đã nhận được trong bước trước.
-
Thực hiện đăng ký chứng chỉ mới dựa trên hình mẫu bây giờ chỉ định phần mềm KSP.
-
Chạy lại tất cả các trường hợp bằng cách sử dụng chứng chỉ mới bất cứ nơi nào bạn có thể.
-
-
Sử dụng kèm theo liệt kê tất cả các chứng chỉ được yêu cầu có thể bị:
-
Từ chối tất cả các yêu cầu chứng chỉ.
-
-
Sử dụng kèm theo liệt kê tất cả các chứng chỉ đã hết hạn. Đảm bảo rằng chúng không được mã hoá chứng chỉ vẫn còn được sử dụng để giải mã dữ liệu. Chứng chỉ hết hạn được mã hoá?
-
Nếu có, đảm bảo dữ liệu được giải mã và sau đó được mã hoá bằng cách sử dụng khoá mới dựa tắt chứng chỉ được tạo ra bằng cách sử dụng phần mềm KSP.
-
Nếu không, bạn có thể yên tâm bỏ qua chứng chỉ.
-
-
Đảm bảo là trình cấm các chứng chỉ bị thu hồi từ vô tình được unrevoked bởi quản trị viên.
-
Đảm bảo rằng mới KDC chứng chỉ gặp hiện thực tiễn tốt nhất
Rủi ro: Nhiều máy chủ khác có thể đáp ứng tiêu chí xác minh điều khiển vùng và xác thực điều khiển miền. Điều này có thể đưa ra nổi tiếng rogue KDC tấn công vector.
Sửa chữa
Tất cả các bộ điều khiển miền sẽ được phát hành chứng chỉ có KDC EKU, như được chỉ định trong [RFC 4556] phần 3.2.4. AD CS, sử dụng xác thực Kerberos mẫu và cấu hình để thay thế bất kỳ khác KDC chứng chỉ được cung cấp.
Để biết thêm chi tiết, [RFC 4556] phụ lục C giải thích lịch sử của mẫu chứng chỉ KDC khác nhau trong Windows.
Khi tất cả các bộ điều khiển vùng có chứng chỉ tương thích với RFC KDC, Windows có thể bảo vệ bản thân bằng cách Cho phép xác thực KDC nghiêm ngặt trong Windows Kerberos.
Lưu ý Theo mặc định, Kerberos các tính năng chính công cộng sẽ được yêu cầu.
Đảm bảo thu hồi chứng chỉ thất bại tình huống tương ứng
AD CS được sử dụng cho các tình huống khác nhau trong một tổ chức. Nó có thể được sử dụng Wi-Fi, VPN, KDC, System Center Configuration Manager và như vậy.
Xác định tất cả các tình huống trong tổ chức của bạn. Đảm bảo rằng các kịch bản sẽ thất bại nếu chúng đã bị thu hồi chứng chỉ hoặc bạn đã thay thế tất cả các chứng chỉ bị thu hồi với giá trị phần mềm dựa trên chứng chỉ và các trường hợp không thành công.
Nếu bạn đang sử dụng OCSP hoặc CRLS, điều này sẽ cập nhật ngay sau khi hết hạn. Tuy nhiên, bạn thường muốn Cập Nhật CRLs lưu trữ trên các máy tính. Nếu bạn OCSP dựa trên CRLs, đảm bảo rằng nó được đặt CRLs ngay lập tức.
Để đảm bảo rằng các lưu trữ sẽ bị xoá, chạy lệnh sau trên máy tính bị ảnh hưởng:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
Cập nhật phần mềm
Cài đặt bản Cập Nhật được phát hành sản xuất để khắc phục các lỗ hổng trong TPM. sau khi hệ thống được Cập Nhật, bạn có thể cập nhật mẫu chứng chỉ sử dụng dựa trên TPM KSP.