|
ВАЖНО Датата за режима на изпълнение, както е отбелязано по-горе в тази статия, е променена на 9 март 2021 г. |
Обобщена информация
Ако използвате защитени потребители и делегиране с ограничени ресурси (RBCD), може да съществува уязвимост на защитата в домейнови контролери на Active Directory. За да научите повече за уязвимостта на защитата, вижте CVE-2020-16996.
|
Предприемане на действия За да защитите вашата среда и да предотвратите изтощаване, трябва да направите следното:
|
Време на актуализациите
Тези Windows актуализации ще бъдат издадени в две фази:
-
Фазата на първоначално разполагане за Windows актуализации, издадени на или след 8 декември 2020 г.
-
Фазата на прилагане за Windows актуализации, издадени на или след 9 март 2021 г.
8 декември 2020 г.: първоначална фаза на разполагане
Първоначалната фаза на разполагане започва с Windows, издадена на 8 декември 2020 г., и продължава с по-нова Windows за фазата на изпълнение. Тези и по-Windows актуализации правят промени в Kerberos.
Това издание:
-
Адресира CVE-2020-16996 (забранено по подразбиране).
-
Добавя поддръжка за стойността в системния регистър NonForwardableDelegation, за да се разреши защитата на сървърите на домейновия контролер на Active Directory. По подразбиране стойността не съществува.
Смекчаването се състои от инсталирането на актуализациите на Windows на всички устройства, които хостват ролята на домейнов контролер на Active Directory и домейн контролери само за четене (RODCs), и след това разрешаване на режима на изпълнение.
9 март 2021 г.: Етап на изпълнение
Преходите на изданието от 9 март 2021 г. в етапа на прилагане. Фазата на изпълнение налага промените в адрес CVE-2020-16996. Домейн контролерите на Active Directory сега ще бъдат в режим на изпълнение, освен ако ключът от системния регистър в режим на прилагане не е зададен на 1 (забранен). Ако е зададен ключ от системния регистър в режим на изпълнение, настройката ще бъде зачетена. Отиване в режим на изпълнение изисква всички домейнови контролери на Active Directory да имат инсталирана актуализация от 8 декември 2020 г. или по-нова актуализация.
Указания за инсталиране
Преди да инсталирате тази актуализация
Трябва да имате инсталирани следните задължителни актуализации, преди да приложите тази актуализация. Ако използвате Windows, тези задължителни актуализации ще се предлагат автоматично, ако е необходимо.
-
Трябва да имате инсталирана актуализация SHA-2 (KB4474419), която е от 23 септември 2019 г. или по-нова sha-2 актуализация и след това рестартирайте устройството, преди да приложите тази актуализация. За повече информация относно sha-2 актуализациите вж. 2019 SHA-2 Code Signing Support requirement for Windows и WSUS.
-
За Windows Server 2008 R2 SP1 трябва да сте инсталирали актуализацията на стека за обслужване (SSU) (KB4490628),която е от 12 март 2019 г. След инсталирането на актуализацията KB4490628 ви препоръчваме да инсталирате най-новата актуализация на SSU. За повече информация относно най-новата актуализация на SSU вижте ADV990001 | Най-новите актуализации на стека на обслужването.
-
За Windows Server 2008 SP2 трябва да сте инсталирали актуализацията на стека за обслужване (SSU) (KB4493730),която е от 9 април 2019 г. След инсталирането на актуализацията KB4493730 ви препоръчваме да инсталирате най-новата актуализация на SSU. За повече информация относно най-новите актуализации на SSU вж. ADV990001 | Най-новите актуализации на стека на обслужването.
-
Клиентите са задължени да закупят разширена актуализация на защитата (ESU) за локални версии на Windows Server 2008 SP2 или Windows Server 2008 R2 SP1, след като разширената поддръжка приключи на 14 януари 2020 г. Клиентите, които са закупили ESU, трябва да следват процедурите в KB4522133, за да продължат да получават актуализации на защитата. За повече информация относно ESU и кои издания се поддържат, вж. KB4497181.
ВажноТрябва да рестартирате устройството си, след като инсталирате тези задължителни актуализации.
Инсталиране на актуализацията
За да отстраните уязвимостта на защитата, инсталирайте Windows и разрешете режима на изпълнение, като следвате тези стъпки.
|
Предупреждение Може да възникнат проблеми с периодичното удостоверяване, Windows тези актуализации и стойността в системния регистър се прилагат непоследователно в един от следните сценарии:
Важно Както Windows, така и стойността в системния регистър трябва да се прилагат последователно за всички домейнови контролери на Active Directory във вашата среда. |
Стъпка 1: Инсталиране на Windows актуализация
Инсталирайте актуализацията на Windows 8 декември 2020 г. или по-нова актуализация на Windows на всички устройства, които хостват ролята на домейнов контролер на Active Directory в гората, включително домейнови контролери само за четене.
|
Windows на сървъра |
КБ # |
Тип актуализация |
|
Windows сървър, версия 20H2 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
|
Windows сървър, версия 2004 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
|
Windows сървър, версия 1909 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
|
Windows сървър, версия 1903 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
|
Windows Server 2019 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
|
Windows Server 2019 |
Актуализация на защитата |
|
|
Windows Server 2016 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
|
Windows Server 2016 |
Актуализация на защитата |
|
|
Windows Server 2012 R2 (инсталация на ядрото на сървъра) |
Месечен сборен пакет за актуализация |
|
|
Само защита |
||
|
Windows Server 2012 R2 |
Месечен сборен пакет за актуализация |
|
|
Само защита |
||
|
Windows Server 2012 (инсталация на ядрото на сървъра) |
Месечен сборен пакет за актуализация |
|
|
Само защита |
||
|
Windows Server 2012 |
Месечен сборен пакет за актуализация |
|
|
Само защита |
||
|
Windows Server 2008 R2 Service Pack 1 |
Месечен сборен пакет за актуализация |
|
|
Само защита |
||
|
Windows Server 2008 Service Pack 2 |
Месечен сборен пакет за актуализация |
|
|
Само защита |
Стъпка 2: Разрешаване на режима на изпълнение
След като всички устройства, които хостват ролята на домейнов контролер на Active Directory, са актуализирани, изчакайте поне един цял ден, за да позволите изтичането на срока на всички забележителни сервизни билети за услугата "Потребител" (S4U2self). След това разрешете пълната защита, като разположите режима на изпълнение. За да направите това, разрешете ключа от системния регистър в режим на изпълнение.
Предупреждение Може да възникнат сериозни проблеми, ако промените системния регистър неправилно с помощта на редактора на системния регистър или с помощта на друг метод. Тези проблеми може да изискват преинсталиране на операционната система. Microsoft не може да гарантира, че тези проблеми могат да бъдат решени. Променете системния регистър на свой собствен риск.
Забележка Тази стойност в системния регистър не се създава чрез инсталиране на тази актуализация. Трябва да добавите тази стойност в системния регистър ръчно.
|
Подключ на системния регистър |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Стойност |
NonForwardableDelegation |
|
Тип данни |
REG_DWORD |
|
Данни |
1: Забранява режима на прилагане. 0: Разрешава режима на изпълнение. Това е защитеното състояние. |
|
По подразбиране |
1 |
|
Изисква ли се рестартиране? |
Не |
Бележки за стойността в системниярегистър "NonForwardableDelegation":
-
Ако стойността в системния регистър е зададена, тя ще има приоритет пред настройката за режима на изпълнение, включена в актуализациите от 9 март 2021 г. Windows изпълнение.
-
Ако стойността в системния регистър е зададена на 1 (Забрани), препращането ще бъде разрешено на билетите за услугата Kerberos, които НЕ са маркирани като препратими.
-
Ако стойността в системния регистър е зададена на 0 (Разреши), препращането няма да бъде разрешено в билетите за услуги на Kerberos, които НЕ са маркирани като препратими.
-
-
Ако вашият домейн включва Windows Server 2008 R2 или по-стари домейнови контролери на Active Directory, не е необходимо да задавате режим на изпълнение, тъй като тези домейн контролери не поддържат RBCD.
-
Неуспешното актуализиране на всички домейнови контролери на Active Directory при разрешаване на режима на изпълнение ще доведе до несполягащи грешки в делегирането на услуги.
-
Преди да настроите режима на изпълнение:
-
Всички домейнови контролери на Active Directory трябва да се актуализират с актуализацията на Windows 8 декември 2020 г. Windows по-нова актуализация и
-
Всички неизпълнени билети за услуги на S4USelf Kerberos трябва да са изтекли, като чакат един ден след завършването на разполагането на Windows актуализация за всички домейнови контролери на Active Directory.
-
Допълнителни съображения
Когато тази защита е разрешена, тя обединява логиката за Resource-Based делегиране (RBCD) с първоначалната ограничена делегиране. Това може да доведе до проблеми в следните два сценария:
-
Една услуга използва едновременно първоначалното делегиране с ограничени права на Kerberos (KCD) без преход към протокол към една цел, докато използва RBCD с преход към протокол към друг. След тази промяна отказът на прехода към протокол ще се прилага и за двата стила на делегиране.
-
RBCD се използва в домейн, който използва домейн контролери, които не са актуализирани с CVE-2020-16996 или изпълняващи по-стари версии на Windows Server (по-стари от Window Server 2012), които нямат налична актуализация за CVE-2020-16996. Центровете за разпространение на ключове (KDCs), които не са актуализирани, няма да маркират билетите за услуги S4USelf Kerberos като добре за делегиране и преход на протоколи, ще бъдат отказани.
