الملخص
تضيف تحديثات Windows 13 يوليو 2021 واللاحقة Windows حماية CVE-2021-33757.
بعد تثبيت تحديثات Windows في 13 يوليو 2021 أو تحديثات Windows اللاحقة، سيكون التشفير القياسي للتشفير المتقدم (AES) الأسلوب المفضل لدى عملاء Windows عند استخدام بروتوكول MS-SAMR القديم لعمليات كلمات المرور إذا كان تشفير AES مدعوما من خادم SAM. إذا لم يكن تشفير AES معتمدا من قبل خادم SAM، سيتم السماح بتشفير RC4 القديم.
التغييرات في CVE-20201-33757 خاصة ببروتوكول MS-SAMR وهي مستقلة عن بروتوكولات المصادقة الأخرى. تستخدم MS-SAMR SMB عبر RPC والأنابيب المسماة. على الرغم من أن SMB يدعم أيضا التشفير، إلا أنه لا يتم تمكينه بشكل افتراضي. بشكل افتراضي، يتم تمكين التغييرات في CVE-20201-33757 وتوفير أمان إضافي في طبقة SAM. لا يلزم إدخال أي تغييرات إضافية على التكوين بعد تثبيت الحماية ل CVE-20201-33757 المضمنة في تحديثات Windows في 13 يوليو 2021 أو تحديثات Windows اللاحقة على كل إصدارات Windows المدعومة. يجب إيقاف الإصدارات غير المعتمدة من Windows أو ترقيتها إلى إصدار معتمد.
ملاحظة لا يعدلCVE-2021-33757 إلا طريقة تشفير كلمات المرور أثناء النقل عند استخدام واجهات برمجة التطبيقات المحددة لبروتوكول MS-SAMR، وعلى وجه التحديد لا تعدل كيفية تخزين كلمات المرور في مكان آخر. لمزيد من المعلومات حول كيفية تشفير كلمات المرور في Active Directory ومحليا في قاعدة بيانات SAM (التسجيل)، راجع نظرة عامة حول كلمات المرور.
مزيد من المعلومات
-
نمط تغيير كلمة المرور
تقوم التحديثات بتعديل نمط تغيير كلمة المرور للبروتوكول عن طريق إضافة أسلوب تغيير كلمة مرور جديد سيستخدم AES.
أسلوب قديم مع RC4
أسلوب جديد مع AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
للحصول على قائمة كاملة ب MS-SAMR OpNums، راجع أحداث معالجة الرسائل وقواعد التسلسل.
-
نمط مجموعة كلمات المرور
تقوم التحديثات بتعديل نمط مجموعة كلمات المرور للبروتوكول عن طريق إضافة نوعين جديدين من فئات معلومات المستخدم إلى الأسلوب SamrSetInformationUser2 (Opnum 58). يمكنك تعيين معلومات كلمة المرور كما يلي.
أسلوب قديم مع RC4
أسلوب جديد مع AES
SamrSetInformationUser2 (Opnum 58) مع UserInternal4InformationNew الذي يحتفظ بكلمة مرور مستخدم مشفرة مع RC4.
SamrSetInformationUser2 (Opnum 58) مع UserInternal8Information الذي يحتفظ بكلمة مرور مستخدم مشفرة مع AES.
SamrSetInformationUser2 (Opnum 58) مع UserInternal5InformationNew التي تحمل كلمة مرور مستخدم مشفرة مع RC4 وجميع سمات المستخدم الأخرى.
SamrSetInformationUser2 (Opnum 58) مع UserInternal7Information الذي يحتفظ بكلمة مرور مشفرة مع AES وجميع سمات المستخدم الأخرى.
يتم عادة استخدام أسلوب SamrConnect5 الموجود لإنشاء اتصال بين عميل SAM وخادم.
سيرجع الخادم المحدث الآن بت جديدا في استجابة SamrConnect5() كما هو محدد في SAMPR_REVISION_INFO_V1.
|
القيمة |
المعنى |
|
0x00000010 |
عند استلام العميل، تشير هذه القيمة، عند تعيينها، إلى أنه يجب على العميل استخدام تشفير AES مع بنية SAMPR_ENCRYPTED_PASSWORD_AES تشفير المخازن المؤقتة لكلمة المرور عند إرسالها عبر الأسلاك. راجع استخدام Cipher ل AES (القسم 3.2.2.4) SAMPR_ENCRYPTED_PASSWORD_AES (القسم 2.2.6.32). |
إذا كان الخادم المحدث يدعم AES، سيستخدم العميل أساليب جديدة وفئات معلومات جديدة لعمليات كلمات المرور. إذا لم يقوم الخادم بإرجاع هذه العلامة أو إذا لم يتم تحديث العميل، سيرجع العميل إلى استخدام الأساليب السابقة مع تشفير RC4.
تتطلب عمليات تعيين كلمة المرور وحدة تحكم مجال قابلة للكتابة (RWDC). يتم إعادة توجيه تغييرات كلمة المرور بواسطة وحدة التحكم في المجال للقراءة فقط إلى RWDC. يجب تحديث جميع الأجهزة لكي يتم استخدام AES. على سبيل المثال:
-
إذا لم يتم تحديث العميل أو تكبير أو RWDC، سيتم استخدام تشفير RC4.
-
إذا تم تحديث العميل وSWC وRWDC، سيتم استخدام تشفير AES.
تضيف تحديثات 13 يوليو 2021 أربعة أحداث جديدة إلى سجل النظام للمساعدة في تحديد الأجهزة التي لم يتم تحديثها وتساعد على تحسين الأمان.
-
حالة التكوين يتم تسجيل "معر 16982" أو "16983" عند بدء التشغيل أو عند تغيير تكوين السجل.
"معر 16982" للحدثسجل الأحداث
النظام
مصدر الحدث
Directory-Services-SAM
"معرّف الحدث"
16982
المستوى
معلومات
نص رسالة الحدث
يسجل مدير حساب الأمان الآن أحداثا مطوّله للعملاء البعيدين الذين يسمون تغيير كلمة المرور القديمة أو تعيين أساليب RPC. قد يتسبب هذا الإعداد في عدد كبير من الرسائل ويجب استخدامه لفترة قصيرة فقط لتشخيص المشاكل.
"معر 16983"سجل الأحداث
النظام
مصدر الحدث
Directory-Services-SAM
"معرّف الحدث"
16983
المستوى
معلومات
نص رسالة الحدث
يسجل الآن مدير حساب الأمان أحداث ملخص دورية للعملاء البعيدين الذين يسمون تغيير كلمة المرور القديمة أو تعيين أساليب RPC.
-
بعد تطبيق تحديث 13 يوليو 2021، يتم تسجيل حدث ملخص 16984 إلى سجل أحداث النظام كل 60 دقيقة.
"معرّف الحدث" 16984سجل الأحداث
النظام
مصدر الحدث
Directory-Services-SAM
"معرّف الحدث"
16984
المستوى
معلومات
نص رسالة الحدث
كشف مدير حساب الأمان عن تغيير كلمة مرور ٪x القديمة أو تعيين استدعاءات أسلوب RPC في آخر 60 دقيقة.
-
بعد تكوين تسجيل الأحداث المطوّل، يتم تسجيل "معر 16985" في سجل أحداث النظام في كل مرة يتم فيها استخدام أسلوب RPC القديم لتغيير كلمة مرور حساب أو تعيينها.
"معر 16985" للحدثسجل الأحداث
النظام
مصدر الحدث
Directory-Services-SAM
"معرّف الحدث"
16985
المستوى
معلومات
نص رسالة الحدث
كشف مدير حساب الأمان عن استخدام تغيير القديمة أو تعيين أسلوب RPC من عميل شبكة. فكر في ترقية نظام تشغيل العميل أو التطبيق لاستخدام أحدث إصدار وأكثر أمانا من هذا الأسلوب.
التفاصيل:
أسلوب RPC: ٪1
عنوان شبكة العميل: ٪2
عميل SID: ٪3
اسم المستخدم: ٪4
لتسجيل المستعرض المطيل للحدث 16985، قم با تبديل قيمة التسجيل التالية على الخادم أو وحدة التحكم بالمجال.
المسار
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
النوع
REG_DWORD
اسم القيمة
AuditLegacyPasswordRpcMethods
بيانات القيمة
1 = يتم تمكين التسجيل المطول
0 أو لا يكون موجودا = يتم تعطيل التسجيل المطول. أحداث الملخص فقط. (افتراضي)
كما هو موضح في SamrUnicodeChangePasswordUser4 (Opnum 73)، عند استخدام الأسلوب الجديد SamrUnicodeChangePasswordUser4، سيستخدم العميل والخادم خوارزمية PBKDF2 لاشتقاق مفتاح تشفير وفك تشفير من كلمة المرور القديمة في النص العادي. وذلك لأن كلمة المرور القديمة هي السرية الشائعة الوحيدة المعروفة لكل من الخادم والعميل.
لمزيد من المعلومات حول PBKDF2، راجع الدالة BCryptDeriveKeyPBKDF2 (bcrypt.h).
إذا كان عليك إجراء تغيير لأسباب تتعلق بالأداء والأمان، يمكنك ضبط عدد بيانات PBKDF2 التي يستخدمها العميل لتغيير كلمة المرور عن طريق تعيين قيمة السجل التالية على العميل.
ملاحظة: يؤدي تقليل عدد ترددات PBKDF2 إلى تقليل الأمان. لا نوصي بخفض الرقم عن العدد الافتراضي. ومع ذلك، نوصي باستخدام أكبر عدد ممكن من ترددات PBKDF2.
|
المسار |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
|
النوع |
REG_DWORD |
|
اسم القيمة |
PBKDF2Iterations |
|
بيانات القيمة |
ما لا يقل عن 5000 إلى 1000000 كحد أقصى |
|
القيمة الافتراضية |
10,000 |
ملاحظة: لا يتم استخدام PBKDF2 لعمليات تعيين كلمات المرور. بالنسبة لعمليات تعيين كلمة المرور، يكون مفتاح جلسة عمل SMB هو السر المشترك بين العميل وخادم المستخدم كأساس لاشتقاق مفاتيح التشفير.
لمزيد من المعلومات، راجع الحصول على مفتاح جلسة عمل SMB.
الأسئلة المتكررة (الأسئلة المتكررة)
يحدث تخفيض الدرجات عندما لا يدعم الخادم أو العميل AES.
ستسجل الخوادم المحدثة الأحداث عند استخدام أساليب RC4 القديمة.
لا يتوفر حاليا أي وضع فرض، ولكن قد يكون هناك في المستقبل. ليس لدينا تاريخ.
إذا لم يكن أحد الأجهزة الخارجية يستخدم بروتوكول SAMR، فهذا ليس مهما. قد يختار موردو الجهات الخارجية الذين ينفذون بروتوكول MS-SAMR تنفيذ ذلك. اتصل بمورد جهة خارجية للحصول على أي أسئلة.
لا يلزم إجراء أي تغييرات إضافية.
هذا البروتوكول القديم، ونحن نتوقع أن يكون استخدامه منخفضا جدا. قد تستخدم التطبيقات القديمة واجهات برمجة التطبيقات هذه. بالإضافة إلى ذلك، تستخدم بعض أدوات Active Directory مثل مستخدمي AD وأجهزة الكمبيوتر MMC SAMR.
لا. تتأثر تغييرات كلمة المرور التي تستخدم واجهات برمجة التطبيقات الخاصة ب SAMR فقط.
نعم. إن PBKDF2 أكثر تكلفة من RC4. إذا كان هناك العديد من تغييرات كلمة المرور التي تحدث في الوقت نفسه على وحدة التحكم بالمجال التي تتصل ب SamrUnicodeChangePasswordUser4 API، فقد يتأثر تحميل وحدة المعالجة المركزية (CPU) ل LSASS. يمكنك ضبط ترددات PBKDF2 على العملاء إذا كان ذلك ضروريا، ومع ذلك لا نوصي بالخفض من الإعداد الافتراضي حيث قد يؤدي ذلك إلى خفض مستوى الأمان.
المراجع
التشفير المصادق به باستخدام AES-CBC وHMAC-SHA
إخلاء المسؤولية عن معلومات الجهات الخارجية
نحن نوفر معلومات جهات اتصال جهة خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. نحن لا نضمن دقة معلومات جهة الاتصال هذه.
