هام تم تغيير تاريخ وضع التنفيذ كما ذكر سابقا في هذه المقالة إلى 9 مارس 2021. |
الملخص
إذا كنت تستخدم "المستخدمون المحميون" و"التكحيل المقيد المستند إلى الموارد" (RBCD)، فقد تكون ثغرة أمنية موجودة في وحدات تحكم مجال Active Directory. لمعرفة المزيد حول ثغرة الأمان، راجع CVE-2020-16996.
اتخاذ إجراء لحماية بيئتك ومنع انقطاع التيار الكهربائي، يجب القيام بما يلي:
|
توقيت التحديثات
سيتم Windows هذه التحديثات على مرحلتين:
-
مرحلة النشر الأولي لتحديثات Windows التي تم إصدارها في 8 ديسمبر 2020 أو بعده.
-
مرحلة التنفيذ Windows التحديثات التي تم إصدارها في 9 مارس 2021 أو بعده.
8 ديسمبر 2020: مرحلة النشر الأولي
تبدأ مرحلة النشر الأولي بتحديث Windows الذي تم إصداره في 8 ديسمبر 2020، كما تستمر بتحديث Windows لاحق لمرحلة التنفيذ. تقوم هذه Windows واللاحقة بإجراء تغييرات على Kerberos.
هذا الإصدار:
-
عناوين CVE-2020-16996 (معطلة بشكل افتراضي).
-
يضيف الدعم لقيمة السجل NonForwardableDelegation لتمكين الحماية على خوادم وحدة تحكم مجال Active Directory. بشكل افتراضي، لا تكون القيمة موجودة.
تتكون عملية تقليل المخاطر من تثبيت تحديثات Windows على جميع الأجهزة التي تستضيف دور وحدة التحكم في مجال Active Directory ووحدات التحكم بالمجال للقراءة فقط (تدريكات)، ثم تمكين وضع "التنفيذ".
9 مارس 2021: مرحلة التنفيذ
انتقالات إصدار 9 مارس 2021 إلى مرحلة التنفيذ. تفرض مرحلة التنفيذ التغييرات لمعالجة CVE-2020-16996. ستكون وحدات تحكم مجال Active Directory الآن في وضع "التنفيذ" ما لم يتم تعيين مفتاح التسجيل في وضع التنفيذ إلى 1 (معطل). إذا تم تعيين مفتاح تسجيل وضع التنفيذ، سيتم احترام الإعداد. يتطلب الذهاب إلى وضع "التنفيذ" تثبيت تحديث 8 ديسمبر 2020 أو تحديث لاحق على كل وحدات تحكم مجال Active Directory.
إرشادات التثبيت
قبل تثبيت هذا التحديث
يجب أن يكون لديك التحديثات المطلوبة التالية مثبتة قبل تطبيق هذا التحديث. إذا كنت تستخدم Windows التحديث، سيتم عرض هذه التحديثات المطلوبة تلقائيا حسب الحاجة.
-
يجب أن يكون تحديث SHA-2(KB4474419)الذي تم تثبيته بتاريخ 23 سبتمبر 2019 أو تحديث SHA-2 أحدث ثم أعد تشغيل جهازك قبل تطبيق هذا التحديث. لمزيد من المعلومات حول تحديثات SHA-2، راجع متطلبات دعم توقيع التعليمات البرمجية ل SHA-2Windows و WSUS .
-
بالنسبة Windows Server 2008 R2 SP1، يجب أن تكون قد قمت بتثبيت تحديث مكدس الخدمة (SSU)(KB4490628)الذي تم تاريخه في 12 مارس 2019. بعد تثبيت تحديث KB4490628، نوصي بتثبيت آخر تحديث SSU. لمزيد من المعلومات حول آخر تحديث ل SSU، راجع ADV990001 | التحديثات الأخيرة لمكدس الصيانة.
-
بالنسبة Windows Server 2008 SP2، يجب أن تكون قد قمت بتثبيت تحديث مكدس الخدمة (SSU)(KB4493730)الذي تم تاريخه في 9 أبريل 2019. بعد تثبيت تحديث KB4493730، نوصي بتثبيت آخر تحديث SSU. لمزيد من المعلومات حول آخر تحديثات SSU، راجع ADV990001 | التحديثات الأخيرة لمكدس الصيانة.
-
يجب على العملاء شراء تحديث الأمان الموسع (ESU) للإصدارات المحلي من Windows Server 2008 SP2 أو Windows Server 2008 R2 SP1 بعد انتهاء الدعم الموسع في 14 يناير 2020. يجب على العملاء الذين اشتروا ESU اتباع الإجراءات في KB4522133 لمتابعة تلقي تحديثات الأمان. لمزيد من المعلومات حول ESU والطبعات المعتمدة، راجع KB4497181.
هاميجب إعادة تشغيل جهازك بعد تثبيت هذه التحديثات المطلوبة.
تثبيت التحديث
لحل ثغرة الأمان، قم Windows التحديثات وتمكين وضع "التنفيذ" باتباع هذه الخطوات.
تحذير قد تحدث مشاكل مصادقة متقطعة إذا Windows هذه التحديثات ويتم تطبيق قيمة التسجيل بشكل غير متناسق في أحد السيناريوهين التاليين أو كليهما:
هام يجب Windows التحديثات وقيمة التسجيل بشكل متناسق على كل وحدات تحكم مجال Active Directory في بيئتك. |
الخطوة 1: تثبيت Windows التحديث
قم بتثبيت تحديث 8 ديسمبر 2020 Windows أو تحديث Windows لاحق لجميع الأجهزة التي تستضيف دور وحدة تحكم مجال Active Directory في الغابات، بما في ذلك وحدات التحكم بالمجال للقراءة فقط.
Windows Server |
KB # |
نوع التحديث |
Windows Server، الإصدار 20H2 (التثبيت الأساسي للخادم) |
تحديث الأمان |
|
Windows Server، الإصدار 2004 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server، الإصدار 1909 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server، الإصدار 1903 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server 2019 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server 2019 |
تحديث الأمان |
|
Windows Server 2016 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server 2016 |
تحديث الأمان |
|
Windows Server 2012 R2 (تثبيت Server Core) |
عملية الالتفاف الشهري |
|
الأمان فقط |
||
Windows Server 2012 R2 |
عملية الالتفاف الشهري |
|
الأمان فقط |
||
Windows Server 2012 (تثبيت Server Core) |
عملية الالتفاف الشهري |
|
الأمان فقط |
||
Windows Server 2012 |
عملية الالتفاف الشهري |
|
الأمان فقط |
||
Windows Server 2008 R2 Service Pack 1 |
عملية الالتفاف الشهري |
|
الأمان فقط |
||
Windows Server 2008 Service Pack 2 |
عملية الالتفاف الشهري |
|
الأمان فقط |
الخطوة 2: تمكين وضع التنفيذ
بعد تحديث جميع الأجهزة التي تستضيف دور وحدة تحكم مجال Active Directory، انتظر لمدة يوم كامل على الأقل للسماح ب انتهاء صلاحية جميع تذاكر خدمة Kerberos المعلقة للمستخدم إلى ذاتي (S4U2 نفسه). بعد ذلك، قم بتمكين الحماية الكاملة من خلال نشر وضع "التنفيذ". للقيام بذلك، يمكنك تمكين مفتاح التسجيل في وضع التنفيذ.
تحذير قد تحدث مشاكل خطيرة إذا قمت بتعديل السجل بشكل غير صحيح باستخدام "محرر السجل" أو باستخدام طريقة أخرى. قد تتطلب هذه المشاكل إعادة تثبيت نظام التشغيل. لا تضمن Microsoft حل هذه المشاكل. قم بتعديل السجل على المخاطر الخاصة بك.
ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.. لا يتم إنشاء قيمة التسجيل هذه عن طريق تثبيت هذا التحديث. يجب إضافة قيمة التسجيل هذه يدويا.
مفتاح السجل الفرعي |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
القيمة |
NonForwardableDelegation |
نوع البيانات |
REG_DWORD |
بيانات |
1: تعطيل وضع التنفيذ. 0:تمكين وضع التنفيذ. هذه هي الحالة المحمية. |
افتراضي |
1 |
هل إعادة التشغيل مطلوبة؟ |
لا |
ملاحظات حول قيمةالسجل"NonForwardableDelegation":
-
إذا تم تعيين قيمة السجل، ستكون لها الأسبقية على إعداد وضع التنفيذ المضمن في تحديثات 9 مارس 2021 Windows التطبيق.
-
إذا تم تعيين قيمة التسجيل إلى 1 (تعطيل)، سيتم السماح ب إعادة توجيه تذاكر خدمة Kerberos التي تم وضع علامة عليها ك قابلة إعادة توجيه.
-
إذا تم تعيين قيمة التسجيل إلى 0 (تمكين)، لن يتم السماح ب إعادة توجيه تذاكر خدمة Kerberos التي تم وضع علامة عليها ك قابلة إعادة توجيه.
-
-
إذا كان مجالك Windows 2008 R2 أو وحدات تحكم مجال Active Directory سابقة، لن تحتاج إلى تعيين وضع "التنفيذ" لأن وحدات التحكم بالمجال هذه لا تدعم RBCD.
-
سينتج عن الفشل في تحديث كل وحدات تحكم مجال Active Directory بشكل متناسق عند تمكين وضع "التنفيذ" حالات فشل متقطعة في إرسال الخدمة.
-
قبل تعيين وضع التنفيذ:
-
يجب تحديث كل وحدات تحكم مجال Active Directory بتحديث 8 ديسمبر 2020 Windows أو تحديث Windows الأخير، و
-
يجب أن تنتهي صلاحية جميع تذاكر خدمة S4USelf Kerberos المعلقة من خلال الانتظار لمدة يوم واحد بعد إكمال نشر Windows التحديث لكل وحدات تحكم مجال Active Directory.
-
اعتبارات إضافية
عند تمكين هذه الحماية، فهي توحد منطق Resource-Based المقيدة (RBCD) مع التكحيل المقيد الأصلي. قد يتسبب ذلك في حدوث مشاكل في السيناريوهين التاليين:
-
تستخدم الخدمة الواحدة في الوقت نفسه "Kerberos مقيدة" (KCD) الأصلية دون انتقال البروتوكول إلى هدف واحد أثناء استخدامها RBCD مع انتقال البروتوكول إلى هدف آخر. بعد هذا التغيير، سيتم تطبيق رفض انتقال البروتوكول على كل من أنماط التكذيب.
-
يتم استخدام RBCD في مجال يستخدم وحدات تحكم المجال التي لم يتم تحديثها باستخدام CVE-2020-16996 أو التي تعمل بالإصدارات الأقدم من خادم Windows (الأقدم من Window Server 2012) التي لا يتوفر لها تحديث ل CVE-2020-16996. لن يتم وضع علامة على تذاكر خدمة S4USelf Kerberos على أنها على ما يرام للفوضى ولن يتم رفض انتقال البروتوكولات في مراكز التوزيع الرئيسية (KDCs) التي لم يتم تحديثها.