摘要
特定的受信任的平台模块(TPM) 芯片集中存在安全漏洞。 漏洞会减弱密钥强度。 若要详细了解此漏洞,请转到 ADV170012。
更多信息
概述
以下部分有助于识别、缓解和纠正受 Microsoft 安全通报 ADV170012.中所标识的漏洞影响的Active Directory 证书服务 (AD CS) 所颁发的证书和请求。
缓解过程的重点在于识别受此漏洞影响的已颁发证书,同时着重于撤销这些证书。
在企业内部颁发的 x.509 证书是否基于一个指定 TPM KSP 的模板?
如果企业使用 TPM KSP,那么在其中使用这些证书的方案很可能会受到安全通报中所标识的漏洞的影响。
缓解操作
-
在为你的设备提供适当的固件更新之前,请更新设置为使用 TPM KSP 的证书模板以使用基于软件的 KSP。 这将防止创建任何使用 TPM KSP 的未来证书,而这些证书很容易受到攻击。 有关更多信息,请参阅本文后面的“固件更新”部分。
-
对于已经创建的证书或请求:
-
使用随附的脚本列出可能易受攻击的所有已颁发的证书。
-
通过传递上一步中获得的序列号列表来撤销这些证书。
-
根据现在指定软件 KSP 的模板配置来强制执行新证书注册。
-
无论身处何地,均可使用新证书来重新运行所有方案。
-
-
使用随附的脚本列出可能易受攻击的所有请求的证书:
-
拒绝所有这些证书请求。
-
-
使用随附的脚本列出所有过期的证书。 确保这些不是仍然用于解密数据的加密证书。 过期证书是否加密?
-
如果已加密,请确保数据解密,然后使用一个新的密钥进行加密,该密钥基于使用软件 KSP 创建的证书。
-
如果未加密,则可以忽略此证书而不会有任何问题。
-
-
确保有一个流程来禁止这些被撤销的证书被管理员意外解除撤销。
-
确保新的 KDC 证书符合当前最佳实践
风险: 许多其他服务器可能满足域控制器和域控制器身份验证的验证标准。 这可能会引入已知的未授权 KDC 攻击途径。
修正
应向所有域控制器颁发具有 KDC EKU 的证书,如 [RFC 4556] 节 3.2.4 中所指定的证书。 对于 AD CS,使用 Kerberos 身份验证模板,并对其进行配置以取代任何其他已颁发的 KDC 证书。
有关详细信息,可参阅 [RFC 4556] 附录 C,其中解释了 Windows 中各种 KDC 证书模板的历史记录。
当所有域控制器都有 RFC 兼容的 KDC 证书时,Windows 可以通过在 Windows Kerberos 中启用严格的 KDC 验证来保护自己。
注意 默认情况下,将需要较新的 Kerberos 公钥功能。
确保撤销的证书使相应的方案失败
AD CS 用于组织中的各种方案。 它可能会用于 Wi-Fi、VPN、KDC、System Center Configuration Manager 等。
识别组织中的所有方案。 确保具有已撤销证书的方案将会失败,或者确保你已使用基于有效软件的证书替换了所有已撤销的证书,并确保方案成功。
如果使用的是 OCSP 或 CRLS,那么它们将在过期后立即更新。 但是,用户通常希望在所有计算机上更新缓存的 CRL。 如果 OCSP 依赖于 CRL,则确保它会立即获得最新的 CRL。
为确保已删除缓存,请在所有受影响的计算机上运行以下命令:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
固件更新
在系统更新后,安装由 OEM 发布的更新来修复 TPM 中的漏洞,以便可以更新证书模板来使用基于 TPM 的 KSP。
