摘要
某些信賴平台模組 (TPM) 晶片組存在安全性弱點。 此弱點會削弱金鑰的強度。
若要深入了解此弱點,請前往 ADV170012。
其他相關資訊
概觀
下列章節將協助您識別、減輕並補救 Active Directory 憑證服務 (AD CS) 所發行的憑證和要求,這些憑證和要求受到 Microsoft 資訊安全諮詢 ADV170012 中所識別之弱點的影響。
降低風險程序著重於識別所發行受弱點影響的憑證,以及撤銷這些憑證。
在您企業內發行的 x.509 憑證是否以指定 TPM KSP 的範本為基礎?
如果您的企業使用 TPM KSP,使用這些憑證的案例可能易受資訊安全諮詢中識別的弱點影響。
降低風險
-
在適合您裝置的韌體更新可供使用之前,請將設定為使用 TPM KSP 的憑證範本更新為使用以軟體為基礎的 KSP。 這將防止未來建立任何使用 TPM KSP 因而易受攻擊的憑證。 如需詳細資訊,請參閱本文後面的<韌體更新>一節。
-
對於已經建立的憑證和要求:
-
使用隨附的指令碼列出所有已發行、可能易受攻擊的憑證。
-
透過傳遞您在上一步中取得的序號清單,撤銷這些憑證。
-
根據現在指定軟體 KSP 的範本設定,強制執行新憑證的註冊。
-
盡可能使用新憑證重新執行所有案例。
-
-
使用隨附的指令碼列出所有已要求、可能易受攻擊的憑證:
-
拒絕所有這些憑證要求。
-
-
使用隨附的指令碼列出所有已到期的憑證。 確認這些不是仍然用於解密資料的加密憑證。 到期的憑證是否已加密?
-
如果是,請確認用來解密再加密資料的新金鑰,是以使用軟體 KSP 所建立的憑證為基礎。
-
如果否,您可以安全地忽略該憑證。
-
-
確認有個程序可用來防止系統管理員意外解除撤銷這些已撤銷的憑證。
-
確認新的 KDC 憑證符合目前的最佳做法
風險: 許多其他伺服器可能符合網域控制站和網域控制站驗證的驗證條件。 這可能引入知名的 rogue KDC 攻擊媒介。
補救
所有網域控制站都應發行具有 KDC EKU 的憑證,如 [RFC 4556] 3.2.4 章節中所述。 對於 AD CS,請使用 Kerberos 驗證範本,並將其設定為取代任何已發行的其他 KDC 憑證。
如需詳細資訊,[RFC 4556] 附錄 C 說明 Windows 中各種 KDC 憑證範本的歷史記錄。
當所有網域控制站都具有 RFC 相容的 KDC 憑證時,Windows 可以透過在 Windows Kerberos 中啟用嚴格的 KDC 驗證 (英文) 來保護自身。
注意:根據預設,將需要較新的 Kerberos 公開金鑰功能。
確認已撤銷的憑證會使個別案例失敗
AD CS 可用於組織中的各種案例。 它可能用於 Wi-Fi、VPN、KDC 和 System Center Configuration Manager 等。
識別組織中的所有案例。 如果這些案例具有已撤銷的憑證,請確認案例將會失敗,或者確認您已使用以軟體為基礎的有效憑證取代所有已撤銷的憑證,並且案例會成功。
如果您使用的是 OCSP 或 CRLS,這些將在到期時立即更新。 但是,您通常希望更新所有電腦上的快取 CRL。 如果您的 OCSP 依賴於 CRL,請確認它立即取得最新的 CRL。
若要確認快取已遭到刪除,請在所有受影響的電腦上執行下列命令:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
韌體更新
安裝 OEM 發行的更新以修正 TPM 中的弱點。系統更新後,您可以將憑證範本更新為使用 TPM 的 KSP。