هام: تم تغيير تواريخ الإصدار المشار إليها مسبقا في هذه المقالة. يرجى ملاحظة تواريخ الإصدار الجديدة في المقطعين "اتخاذ إجراء" و"توقيت تحديثات Windows هذه".
الملخص
توجد ثغرة في ميزة الأمان تتجاوز الطريقة التي يحدد بها مركز التوزيع الرئيسي (KDC) ما إذا كان يمكن استخدام تذكرة خدمة Kerberos للتكديل عبر Kerberos Constrained Delegation (KCD). كوسيط استغلال الثغرة الأمنية، يمكن أن تقوم الخدمة التي تم تكوينها لاستخدام KCD بالعبث بتذكرة خدمة Kerberos غير صالحة للتنازل عن جبران KDC على قبولها. تعالج تحديثات Windows هذه الثغرة من خلال تغيير كيفية تحقق شركة KDC من صحة تذاكر خدمة Kerberos المستخدمة مع KCD.
لمعرفة المزيد حول هذه الثغرة الأمنية، راجع CVE-2020-17049.
|
اتخاذ إجراء لحماية بيئتك ومنع انقطاعها، يجب اتباع كل الخطوات التالية:
|
توقيت تحديثات Windows هذه
سيتم إصدار تحديثات Windows هذه في ثلاث مراحل:
-
مرحلة النشر الأولي لتحديثات Windows التي تم إصدارها في 8 ديسمبر 2020 أو بعده.
-
مرحلة نشر ثانية تزيل الإعداد PerformTicketSignature0 وتتطلب تعيين 1 أو 2،في 13 أبريل 2021 أو بعده.
-
مرحلة التنفيذ لتحديثات Windows التي تم إصدارها في 13 يوليو 2021 أو بعده.
8 ديسمبر 2020: مرحلة النشر الأولي
تبدأ مرحلة النشر الأولي بتحديث Windows الذي تم إصداره في 8 ديسمبر 2020، كما تستمر بتحديث Windows لاحق لمرحلة التنفيذ. تقوم تحديثات Windows هذه واللاحقة بإجراء تغييرات على Kerberos. يتضمن تحديث 8 ديسمبر 2020 هذا تصحيحات لجميع المشاكل المعروفة التي تم تقديمها في الأصل في إصدار 10 نوفمبر 2020 من CVE-2020-17049. يضيف هذا التحديث أيضا الدعم ل Windows Server 2008 SP2 و Windows Server 2008 R2.
هذا الإصدار:
-
عناوين CVE-2020-17049 (في وضع النشر بشكل افتراضي).
-
يضيف الدعم لقيمة سجل PerformTicketSignature لتمكين الحماية على خوادم وحدة تحكم مجال Active Directory. بشكل افتراضي، هذه القيمة غير موجودة.
تتكون عملية تقليل المخاطر من تثبيت تحديثات Windows على جميع الأجهزة التي تستضيف دور وحدة تحكم مجال Active Directory ووحدات التحكم بالمجالات للقراءة فقط (هذه البرامج)، ثم تمكين وضع التنفيذ.
13 أبريل 2021: مرحلة النشر الثانية
تبدأ مرحلة النشر الثانية بتحديث Windows الذي تم إصداره في 13 أبريل 2021. تزيل هذه المرحلة الإعداد PerformTicketSignature0. سيكون لإعداد PerformTicketSignature إلى 0 بعد تثبيت هذا التحديث نفس التأثير مثل تعيين PerformTicketSignature إلى 1. ستكون أجهزة الكمبيوتر في وضع النشر.
ملاحظات
-
هذه المرحلة ليست ضرورية إذا لم يتم تعيين PerformTicketSignature على 0 في بيئتك. تساعد هذه المرحلة على التأكد من نقل العملاء الذين يقوموا بتعيين PerformTicketSignature إلى 0 إلى الإعداد 1 قبل مرحلة الضبط.
-
مع نشر تحديثات 13 أبريل 2021، سيتيح تعيين PerformTicketSignature إلى 1 إمكانية نشر تذاكر الخدمة. هذا تغيير في السلوك من تحديثات Windows قبل أبريل 2021 عند تعيين PerformTicketSignature إلى 1 مما أدى إلى عدم وضع تذاكر الخدمة في وضع عدم الاكتراب.
-
يفترض هذا التحديث أن كل وحدات تحكم المجال تم تحديثها بتحديثات 8 ديسمبر 2020 أو التحديثات اللاحقة.
-
بعد تثبيت هذا التحديث، وبعد تعيين PerformTicketSignature يدويا أو برمجيا إلى وحدة تحكم مجال Windows Server واحدة أو أعلى، لن تعمل وحدات التحكم في مجال Windows Server المعتمدة مع وحدات التحكم بالمجالات المعتمدة. يشمل ذلك Windows Server 2008 و Windows Server 2008 R2 بدون تحديثات الأمان الموسعة (ESU) و Windows Server 2003.
13 يوليو 2021: مرحلة التنفيذ
انتقالات إصدار 13 يوليو 2021 إلى مرحلة التنفيذ. تفرض مرحلة التنفيذ التغييرات لمعالجة CVE-2020-17049. أصبحت الآن وحدات تحكم مجال Active Directory قادرة على وضع ال فرض. يتطلب الذهاب إلى وضع "التنفيذ" تثبيت تحديث 8 ديسمبر 2020 أو تحديث Windows لاحق لجميع وحدات تحكم مجال Active Directory. في هذا الوقت، سيتم تجاهل إعدادات مفتاح تسجيل PerformTicketSignature ولا يمكن تجاوز وضع الضبط.
إرشادات التثبيت
قبل تثبيت هذا التحديث
يجب أن تكون التحديثات المطلوبة التالية مثبتة لديك قبل تطبيق هذا التحديث. إذا كنت تستخدم Windows Update، سيتم عرض هذه التحديثات المطلوبة تلقائيا حسب الحاجة.
-
يجب أن يكون لديك تحديث SHA-2(KB4474419)الذي تم تاريخه في 23 سبتمبر 2019 أو تحديث SHA-2 أحدث مثبتا ثم أعد تشغيل الجهاز قبل تطبيق هذا التحديث. لمزيد من المعلومات حول تحديثات SHA-2، راجع متطلبات دعم توقيع التعليمات البرمجية SHA-2 لنظامي التشغيل Windows و WSUS في إصدار 2019.
-
بالنسبة إلى Windows Server 2008 R2 SP1، يجب أن تكون قد قمت بتثبيت تحديث مكدس الخدمة (SSU)(KB4490628)الذي بتاريخ 12 مارس 2019. بعد تثبيت التحديث KB4490628، نوصي بتثبيت تحديث SSU الأخير. لمزيد من المعلومات حول تحديث SSU الأخير، راجع ADV990001 | تحديثات مكدس الخدمة الأخيرة.
-
بالنسبة إلى Windows Server 2008 SP2، يجب أن تكون قد قمت بتثبيت تحديث مكدس الخدمة (SSU)(KB4493730)الذي بتاريخ 9 أبريل 2019. بعد تثبيت التحديث KB4493730، نوصي بتثبيت تحديث SSU الأخير. لمزيد من المعلومات حول تحديثات SSU الأخيرة، راجع ADV990001 | تحديثات مكدس الخدمة الأخيرة.
-
يطلب من العملاء شراء تحديث الأمان الموسع (ESU) للإصدارات المحلي من Windows Server 2008 SP2 أو Windows Server 2008 R2 SP1 بعد انتهاء الدعم الموسع في 14 يناير 2020. يجب على العملاء الذين اشتروا ESU اتباع الإجراءات في KB4522133 لمتابعة تلقي تحديثات الأمان. لمزيد من المعلومات حول ESU والطبعات المعتمدة، راجع KB4497181.
هام يجب إعادة تشغيل جهازك بعد تثبيت هذه التحديثات المطلوبة.
تثبيت كل التحديثات
لحل ثغرة الأمان، قم بتثبيت كل تحديثات Windows وتمكين وضع "التنفيذ" باتباع الخطوات التالية:
-
نشر تحديث واحد على الأقل من التحديثات من 8 ديسمبر 2020 إلى 9 مارس 2021 لكل وحدات تحكم مجال Active Directory في الغابات.
-
نشر تحديث 12 أبريل 2021 بعد أسبوع واحد أو أكثر على الأقل من الخطوة 1.
-
بعد تحديث كل وحدات تحكم مجال Active Directory، انتظر أسبوعا كاملا على الأقل للسماح بزهاء صلاحية تذاكر خدمة Kerberos الذاتية (S4U2 نفسه) للخدمة للمستخدم لمدة أسبوع كامل على الأقل، ومن ثم يمكن تمكين الحماية الكاملة من خلال نشر وضع فرض التحكم في مجال Active Directory.
الملاحظات-
إذا قمت بتعديل أوقات انتهاء صلاحية تذكرة خدمة Kerberos من الإعدادات الافتراضية (الإعداد الافتراضي هو 7 أيام)، فيجب الانتظار على الأقل عدد الأيام كما تم تكوينه في بيئتك.
-
تفترض هذه الخطوات أنه لم يتم تعيين PerformTicketSignature على 0 في بيئتك. إذا تم تعيين PerformTicketSignature إلى 0،فيجب الانتقال إلى الإعداد 1 قبل الانتقال إلى الإعداد 2 (وضع التنفيذ) والانتظار لمدة أسبوع على الأقل للسماح ب انتهاء صلاحية جميع تذاكر خدمة Kerberos المستحقة للمستخدم ذاتي (S4U2 نفسه). يجب عدم الانتقال مباشرة من الإعداد 0 إلى الإعداد 2 (وضع الضبط).
-
الخطوة 1: تثبيت تحديثات Windows
قم بتثبيت تحديث Windows المناسب في 8 ديسمبر 2020 أو تحديث Windows لاحق لجميع الأجهزة التي تستضيف دور وحدة تحكم مجال Active Directory في الغابات، بما في ذلك وحدات التحكم بالمجال للقراءة فقط.
|
منتج Windows Server |
KB # |
نوع التحديث |
|
Windows Server، الإصدار 20H2 (التثبيت الأساسي للخادم) |
تحديث الأمان |
|
|
Windows Server، الإصدار 2004 (تثبيت Server Core) |
تحديث الأمان |
|
|
Windows Server، الإصدار 1909 (تثبيت Server Core) |
تحديث الأمان |
|
|
Windows Server، الإصدار 1903 (تثبيت Server Core) |
تحديث الأمان |
|
|
Windows Server 2019 (تثبيت Server Core) |
تحديث الأمان |
|
|
Windows Server 2019 |
تحديث الأمان |
|
|
Windows Server 2016 (تثبيت Server Core) |
تحديث الأمان |
|
|
Windows Server 2016 |
تحديث الأمان |
|
|
Windows Server 2012 R2 (تثبيت Server Core) |
عملية الالتفاف الشهري |
|
|
الأمان فقط |
||
|
Windows Server 2012 R2 |
عملية الالتفاف الشهري |
|
|
الأمان فقط |
||
|
Windows Server 2012 (تثبيت Server Core) |
عملية الالتفاف الشهري |
|
|
الأمان فقط |
||
|
Windows Server 2012 |
عملية الالتفاف الشهري |
|
|
الأمان فقط |
||
|
Windows Server 2008 R2 Service Pack 1 |
عملية الالتفاف الشهري |
|
|
الأمان فقط |
||
|
Windows Server 2008 Service Pack 2 |
عملية الالتفاف الشهري |
|
|
الأمان فقط |
الخطوة 2: تمكين وضع ال فرض
بعد تحديث كل الأجهزة التي تستضيف دور وحدة التحكم في مجال Active Directory، انتظر أسبوعا كاملا على الأقل للسماح بزهاء صلاحية جميع تذاكر خدمة S4U2 نفسها المعلقة في Kerberos. بعد ذلك، قم بتمكين الحماية الكاملة من خلال نشر وضع ال فرض. للقيام بذلك، مكن مفتاح التسجيل في وضع ال فرض.
تحذير قد تحدث مشاكل خطيرة إذا قمت بتعديل السجل بشكل غير صحيح باستخدام "محرر السجل" أو باستخدام طريقة أخرى. قد تتطلب هذه المشاكل إعادة تثبيت نظام التشغيل. لا تضمن Microsoft حل هذه المشاكل. تعديل السجل على المخاطر الخاصة بك.
ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.. يقدم هذا التحديث الدعم لقيمة السجل التالية لتمكين وضع "التنفيذ". لا يتم إنشاء قيمة التسجيل هذه عن طريق تثبيت هذا التحديث. يجب إضافة قيمة التسجيل هذه يدويا.
|
مفتاح السجل الفرعي |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
القيمة |
PerformTicketSignature |
|
نوع البيانات |
REG_DWORD |
|
بيانات |
1:تمكين وضع النشر. يتم تمكين الإصلاح على وحدة التحكم بالمجال، ولكن وحدة تحكم المجال Active Directory لا تتطلب تطابق تذاكر خدمة Kerberos مع الإصلاح. يضيف هذا الوضع الدعم لتواقيع التذاكر على أجهزة التحكم بالمجال المحدثة CVE-2020-17049، ولكن وحدات التحكم بالمجال لا تحتاج إلى تذاكر للتوقيع. يسمح هذا الأمر بمزج ما بين مرحلة النشر الأولي (أجهزة الكمبيوتر المحدثة إلى تحديث النشر الأولي لشهر ديسمبر) ووحدات تحكم المجالات المحدثة بالتكديس. مع تحديث جميع وحدات التحكم بالمجال وعند تعيين 1،سيتم توقيع جميع التذاكر الجديدة. في هذا الوضع، سيتم وضع علامة على تذاكر جديدة كمودمة. 2:تمكين وضع ال فرض، يمكن هذا الإصلاح في الوضع المطلوب حيث يجب تحديث جميع المجالات وتتطلب جميع وحدات تحكم مجال Active Directory تذاكر خدمة Kerberos مع التواقيع. باستخدام هذا الإعداد، يجب أن يتم توقيع جميع التذاكر لكي يتم اعتبارها صالحة. في هذا الوضع، سيتم وضع علامة على التذاكر مرة أخرى كمودمة. 0:غير مستحسن. تعطيل تواقيع تذاكر خدمة Kerberos، والمجالات غير محمية. هام: الإعداد 0 غير متوافق مع إعداد الضبط 2. قد تحدث حالات فشل المصادقة المتقطعة إذا تم تطبيق وضع ال فرض في مرحلة لاحقة بينما تم تعيين المجال إلى 0. نوصي العملاء بأن ينتقلوا إلى الإعداد 1 قبل مرحلة التنفيذ (أسبوع على الأقل قبل تطبيق الضبط). |
|
افتراضي |
1 (عند عدم تعيين مفتاح التسجيل) |
|
هل إعادة التشغيل مطلوبة؟ |
لا |
