• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky
Home Články

Pomoc, která zabolí

Promo
17. 2. 2023
| Články
NÚKIB nařizuje aktualizovat MS Exchange Server

Pixabay License. Volné pro komerční užití

Používáte certifikáty v Microsoft Active Directory? Pak musíte řešit jejich kritickou zranitelnost.

Slovní spojení „kritická zranitelnost v Active Directory” zní dramaticky, a není divu. Pokud se někoho tato problematika týká a zanedbá ji, čekají jen zanedlouho dosti dramatické chvilky. O co přesně jde?
Dne 10. května 2022 vydal Microsoft bezpečnostní patch označený jako KB5014754, který se týká bez výjimky všech uživatelů využívajících certifikáty pro autentizaci v Microsoft Active Directory. Cílem tohoto patche je oprava tří kritických zranitelností: CVE-2022-26923, CVE-2022-26931 a CVE-2022-34691. Tyto zranitelnosti totiž umožňují eskalaci privilegií, na jejichž základě kterým může i běžný uživatel získat administrátorské oprávnění, které mu nepřísluší.

Pomoc, která zabolí
Patch je určen pro operační systémy Windows Server 2008, 2012, 2016, 2019, 20H2 a 2022 a Microsoft ho vzhledem k závažnosti zranitelností doporučuje aplikovat co nejdříve. „No tak ho aplikuji, o co jde?,” řekne si možná uživatel. Není to ale tak jednoduché. Tento patch bohužel mění způsob, jakým jsou certifikáty svázány s konkrétní identitou v Active Directory. A to znamená, že některé stále platné certifikáty brzy nebude možné pro autentizaci využít. Než ale začít panikařit, je lépe číst dál.

Období hájení do května 2023
Protože si Microsoft tento problém uvědomuje, ustanovil přechodné období, ve kterém bude stále ještě možné využít slabší ztotožnění certifikátů. Toto  „období hájení” trvá do 9. května 2023 a vy během něj lze Active Directory využívat v jednom ze tří módů:
• Full enforcement: mód se silným ztotožněním, ve kterém ovšem některé certifikáty již nemusejí fungovat.
• Compatibility: defaultní mód, který nabízí silné i slabé ztotožnění a zatím umožňuje používání všech certifikátů. Slabé ztotožnění je přitom logováno upozorněním, takže se předem ví, které certifikáty budou brzy nepoužitelné.
• Disabled: mód, ve kterém neprobíhá ani žádné ztotožnění, ani žádné upozornění.
Druhé dva módy tedy prozatím mohou vytrhnout trn z paty, zároveň ale je třeba myslet na to, že oba budou k 9. květnu zrušeny. U disabled módu je navíc velký problém v tom, že se uživatel dopředu vůbec nedozví, zda a kde má problém.

Drtivé dopady na řadu služeb
A co se tedy stane „den poté”? Pokud uživatel včas nezakročí, pak funkcionality certifikátů pro autentizaci klienta, které se opírají o mechanismy Active Directory, budou v ohrožení. Týkat se to může například funkce Smart Card Log-on, autentizací na webové služby nebo i federačních služeb postavených na Active Directory. Aby bylo možno se těmto nepříjemnostem vyhnout a zajistit, aby vše fungovalo i po aplikování ochranného patche tak, jak má, bude po uživateli vyžadovat doména Active Directory vyšší akt důvěry, který držitele certifikátu jednoznačně sváže s identitou v AD.

Jak vytvořit novou důvěru?
Svázání certifikátu s identitou v AD lze provést přímo v nastavení certifikátů samotných. A to tím, že se do nich doplní určitá unikátní informace (SID – Security Identifier), která bude pro AD vysoce důvěryhodná a autorizuje se v prostředí domény. Pokud se (jako u většina uživatelů) využívá certifikační autoritu MS, existují dva způsoby, jak to provést: buď se v nastavení přepne na mód Build from this AD information, a certifikační autorita doplní do certifikátu hodnotu SID automaticky, nebo se spolehnout na mód Supply in the request, ve kterém obecná autorita přijímá žádost o certifikaci ve formátu PKCS#10. Do ní je ale nutné rozšíření SID zakódovat, což je zásah pro laika poměrně složitý.
Nebojte se požádat o pomoc

Pokud jde ze všech uvedených informací hlava kolem, vězte, že na to nemusíte být sami. V ProID (Monet+) dlouhodobě pomáháme klientům v oblasti digitální identity v prostředí Active Directory, proto nyní nabízíme bezplatnou revizi kritické zranitelnosti. Během ní zjistíme, zda se vás problém vůbec týká a pokud ano, poradíme, co je potřeba pro případnou nápravu. V případě vašeho zájmu vám pak pomůžeme i s následnou opravou a provedeme automatizaci životního cyklu vašich certifikátů. Zkrátka uděláme všechno proto, abyste se podobným kritickým scénářům a dramatům příště vyhnuli. O revizi či pomoc můžete požádat na webu www.proid.cz.

Využíváte ve své organizaci systémy PKI, certifikační autority a digitální certifikáty? Navštivte náš web www.proid.cz. Najdete zde kompletní nabídku našich služeb, spojených s kryptografií a řízením životního cyklu digitálních certifikátů.

 

Rubriky: Security

Související příspěvky

Zprávičky

FSB tvrdí, že Apple spolupracuje s tajnými službami USA

1. 6. 2023
CZ.NIC začal zveřejňovat seznam zablokovaných domén
Zprávičky

Avast Threat Labs: hackeři útočí na fotbalové fanoušky přes bezplatné streamy zápasů

1. 6. 2023
Články

Studie Cisco: přechod firem do multicloudu přináší problémy se zabezpečením přístupu uživatelů

31. 5. 2023
Zprávičky

Asie se stává hlavním zdrojem DDoS útoků na české firmy

25. 5. 2023

Zprávičky

FSB tvrdí, že Apple spolupracuje s tajnými službami USA

ČTK
1. 6. 2023

Ruská tajná služba FSB tvrdí, že odhalila operaci americké rozvědky, která podle ní využila

CZ.NIC začal zveřejňovat seznam zablokovaných domén

Avast Threat Labs: hackeři útočí na fotbalové fanoušky přes bezplatné streamy zápasů

Pavel Houser
1. 6. 2023

Fanoušci, kteří se chystají 10. června sledovat finále Ligy mistrů UEFA, by si měli

Telly převede své internetové zákazníky pod Nordic Telecom

ČTK
31. 5. 2023

Televizní operátor Telly převede od srpna všechny své uživatele připojení k internetu do sítě

EU a USA usilují o zavedení dobrovolných pravidel pro umělou inteligenci (aktualizováno)

ČTK
31. 5. 2023

Evropská unie a Spojené státy usilují o zavedení dobrovolného souboru pravidel pro odvětví umělé

Tržní hodnota výrobce čipů Nvidia pokořila hranici bilionu dolarů

ČTK
30. 5. 2023

Americká společnost Nvidia se dnes stala prvním výrobcem čipů, jehož tržní hodnota překonala hranici

Meta prodává platformu Giphy firmě Shutterstock

ČTK
30. 5. 2023

Americká internetová společnost Meta Platforms se dohodla na prodeji platformy pro animované obrázky Giphy

Jak prodávat technologie: SEM vs. SEO

Šéf Nvidie: S generativní umělou inteligencí může být každý člověk programátorem

ČTK
30. 5. 2023

Svět nyní vstupuje do nové počítačové éry a díky generativní umělé inteligenci (AI) může

Nvidia staví izraelský superpočítač pro umělou inteligenci

ČTK
29. 5. 2023

Společnost Nvidia Corp. staví nejvýkonnější superpočítač v Izraeli, který má uspokojit prudce rostoucí poptávku

Tiskové zprávy

Vědci v ČR získali nejpokročilejší systém pro AI a dva nové clustery pro náročné technické výpočty

Rekordní výsledky Salesforce za první čtvrtletí fiskálního roku 2024: tržby i výnosy meziročně vzrostly o 11 %

Mezi finalisty největší ICT studentské soutěže Huawei jsou čím dál častěji ženy

MiR slaví 10. výročí a pokračuje v globálním růstu

Přepínáte v práci mezi aplikacemi? Ročně tak přijdete o měsíc pracovní doby, zjistil Slack

Počet nabídek prací na dálku v Česku klesá. IT se vrací k práci v kancelářích

Zpráva dne

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Redakce
3. 3. 2023

Ať už hledáte levnější cestu jak postavit nový počítač, nebo jen chcete upgradovat stárnoucí...

Komentujeme

Chvála černých skřínek

ChatGPT – pouhé rozhraní a komprese informací, praví autor sci-fi

Pavel Houser
11. 5. 2023

K hromadám diskusí o konverzačním programu ChatGPT snad stojí za to přidat jeden poměrně nezvyklý (a...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Slovník

Self promotion

Business-class video

Indoor

Nejpopulárnější články

Dell rozšiřuje IT kapacity směrem na periferii

Dvě třetiny českých organizací se obávají o svou budoucnost

itbiz
30. 4. 2023

Jak nakupovat – nebo prodávat – data

Boom datové analytiky, odborníci ale firmám chybí

itbiz
27. 4. 2023

Bezpečnost platformy Kubernetes v roce 2023

itbiz
21. 4. 2023

Nejmenší baterie na světě: 2D systém na čipu

Krystaly lithia mohou vylepšit baterie lithium–kov

Pavel Houser
25. 4. 2023

Výdaje na zabezpečení v Evropě i letos porostou

HPE Aruba Networking zjednodušuje cloudovou správu sítě

itbiz
26. 4. 2023

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

RSS AbcLinuxu RSS

  • Procesor AMD EPYC 7002 se po 1044 dnech od posledního resetu zasekne
  • Fossil 2.22
  • Vylepšení statické analýzy v GCC 13

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.