Важно: Датите на издаване, показани по-рано в тази статия, са променени. Обърнете внимание на новите дати за издаване в разделите "предприемане на действия" и "време на тези актуализации на Windows".
Обобщена информация
Съществува уязвимост от заобикаляне на функцията за защита в начина, по който Центърът за разпространение на ключове (KDC) определя дали даден билет за услугата Kerberos може да бъде използван за делегиране чрез делегиране на Kerberos с ограничени функции (KCD). За да се използва уязвимостта, компрометираната услуга, която е конфигурирана за използване на KCD, може да се манипулира с билет за услугата Kerberos, който не е валиден за делегиране, за да принуди KDC да го приеме. Тези актуализации за Windows се отнасят за тази уязвимост чрез промяна на начина, по който KDC проверява услугите за услуги на Kerberos, използвани с KCD.
За да научите повече за тази уязвимост, вижте CVE-2020-17049.
|
Предприемане на действие За да защитите своята среда и да предотвратите прекъсване, трябва да следвате тези стъпки:
|
Време на тези актуализации за Windows
Тези актуализации за Windows ще бъдат издадени в три фази:
-
Първоначалната фаза на разполагане за актуализации на Windows, издадена на или след 8 декември 2020.
-
Втори етап на разполагане, който премахва настройката на PerformTicketSignature0 и изисква настройка 1 или 2, на или след 13 Април 2021.
-
Фазата на принудително изпълнение за актуализации на Windows, издадена на или след 13 юли 2021.
8 декември 2020: първоначална фаза на разполагане
Първоначалната фаза на разполагане започва с актуализацията на Windows, издадена на 8 декември 2020, и продължава със по-късна актуализация за Windows за фазата на изпълнение. Тези и по-нови актуализации на Windows правят промени в Kerberos. Този 8 декември актуализация на 2020 включва корекции за всички известни проблеми, които са първоначално въведени от 10 ноември 2020 издание на CVE-2020-17049. Тази актуализация добавя и поддръжка за Windows Server 2008 SP2 и Windows Server 2008 R2.
Това издание:
-
Адреси CVE-2020-17049 (в режим на разполагане по подразбиране).
-
Добавя поддръжка за стойността на системния регистър на PerformTicketSignature , за да разреши защитата на сървърите на домейновия контролер на Active Directory. По подразбиране тази стойност не съществува.
Смекчаването се състои от инсталирането на актуализациите на Windows на всички устройства, които хостват ролята на домейновия контролер на Active Directory и домейновите контролери само за четене (RODCs) и след това разрешават режима на принудително изпълнение.
13 Април 2021: втора фаза на разполагане
Втората фаза за разгръщане започва с актуализацията на Windows, издадена на 13 Април 2021. Тази фаза премахва настройката PerformTicketSignature0. Настройката PerformTicketSignature на 0 след инсталирането на тази актуализация ще има същия ефект като настройката PerformTicketSignature to 1. DCs ще е в режим на разполагане.
Забележки
-
Тази фаза не е необходима, ако PerformTicketSignature не е зададено на 0 във вашата среда. Тази фаза помага да се уверите, че клиентите, които задават PerformTicketSignature на 0 , ще бъдат преместени към настройка 1 преди етапа на изпълнение .
-
С разполагането на актуализацията за 13 Април 2021, настройването на PerformTicketSignature на 1 ще позволи подновяването на абонаментите за услуги. Това е промяна в поведението от pre-April 2021 Windows updates при настройването на PerformTicketSignature на 1 , което е причинило неподновяване на билетите за услугата.
-
Тази актуализация предполага, че всички домейнови контролери се актуализират с актуализацията от 8 декември или по-нови версии на 2020.
-
След като инсталирате тази актуализация и ръчно или програмно зададете PerformTicketSignature на 1 или по-нова версия, неподдържаните домейнови контролери на Windows Server повече няма да работят с поддържани домейнови контролери. Това включва Windows Server 2008 и Windows Server 2008 R2 без разширени актуализации за защита (есе) и Windows Server 2003.
13 юли 2021: етап на изпълнение
13 юли, издаващи преходи за 2021 в етап на изпълнение. Етап на правоприлагане налага промените в адрес CVE-2020-17049. Домейновите контролери за Active Directory вече могат да работят в режим на принудително изпълнение. Режимът на изпълнение изисква всички домейнови контролери на Active Directory да имат актуализация от 8 декември, 2020 или по-нова версия на Windows Update. В този момент настройките на ключа от системния регистър PerformTicketSignature ще бъдат игнорирани и режимът на принудително изпълнение не може да бъде отменен.
Ръководство за инсталиране
Преди да инсталирате тази актуализация
Трябва да имате инсталирани следните необходими актуализации, преди да приложите тази актуализация. Ако използвате Windows Update, тези необходими актуализации ще се предлагат автоматично, ако е необходимо.
-
Трябва да имате актуализацията SHA-2 (KB4474419), която е с дата 23 септември 2019 или по-нова версия на Sha-2, и след това рестартирайте устройството си, преди да приложите тази актуализация. За повече информация за актуализациите SHA-2 вижте 2019 Sha-2 Code support изискване за подписване за Windows и WSUS.
-
За Windows Server 2008 R2 SP1 трябва да сте инсталирали актуализацията за обслужващи стека (SSU) (KB4490628) с дата 12 март 2019. След като се инсталира актуализацията KB4490628 , ви препоръчваме да инсталирате най-новата актуализация за SSU. За повече информация за най-новата актуализация за SSU вижте ADV990001 | Последни актуализации за обслужващия стек.
-
За Windows Server 2008 SP2 трябва да сте инсталирали актуализацията за обслужване на стека (SSU) (KB4493730), която е с дата 9 април 2019. След като се инсталира актуализацията KB4493730 , ви препоръчваме да инсталирате най-новата актуализация за SSU. За повече информация за най-новите актуализации за SSU вижте ADV990001 | Последни актуализации за обслужващия стек.
-
Клиентите трябва да закупят разширена актуализация на защитата (есе) за локалните версии на Windows Server 2008 SP2 или Windows Server 2008 R2 SP1, след като разширена поддръжка приключи на 14 януари 2020. Клиенти, които са закупили есе, трябва да следват процедурите в KB4522133 , за да продължат да получават актуализации на защитата. За повече информация относно СПЕШНИте версии и кои издания се поддържат, вижте KB4497181.
Важно Трябва да рестартирате устройството, след като инсталирате тези необходими актуализации.
Инсталиране на всички актуализации
За да отстраните уязвимост на защитата, инсталирайте всички актуализации на Windows и разрешете режима на принудително изпълнение, като изпълните следните стъпки:
-
Разположите поне една от актуализациите между 8 декември, 2020 и 9 март 2021 до всички домейнови контролери на Active Directory в гората.
-
Разполагане на 12 Април 2021 актуализация поне една или повече седмици след стъпка 1.
-
След актуализиране на всички домейнови контролери на Active Directory изчакайте поне една пълна седмица , за да позволите на всички неизплатени услуги на потребителя самостоятелно (S4U2self) да изтече срокът на услугата, а след това пълната защита може да бъде разрешена, като разположите режима на домейнов контролер на Active Directory.
Бележки-
Ако сте променили времето за изтичане на срока на валидност на услугата на Kerberos от настройките по подразбиране (по подразбиране е 7 дни), трябва да изчакате поне броя на дните, както е конфигуриран във вашата среда.
-
Тези стъпки предполагат, че PerformTicketSignature никога не е било зададено на 0 във вашата среда. Ако PerformTicketSignature е зададено на 0, трябва да преминете към настройка 1 , преди да преминете към настройка 2 (режим на принудително изпълнение) и да изчакате поне седмица, за да разрешите на всички неизплатени услуги, за да изтече срокът на валидност на услугата (S4U2self). Не трябва да преминавате директно от настройката 0 към настройка 2 (режим на принудително изпълнение).
-
Стъпка 1: инсталиране на актуализации за Windows
Инсталирайте подходящите 8 декември, 2020 Windows Update или по-нова актуализация за Windows за всички устройства, които хостват ролята на домейновия контролер на Active Directory в гората, включително контролери за домейни само за четене.
|
Продукт на Windows Server |
KB # |
Тип актуализация |
|
Windows Server, версия 20H2 (основна инсталация на сървъра) |
Актуализация на защитата |
|
|
Windows Server, версия 2004 (основна инсталация на сървъра) |
Актуализация на защитата |
|
|
Windows Server, версия 1909 (основна инсталация на сървъра) |
Актуализация на защитата |
|
|
Windows Server, версия 1903 (основна инсталация на сървъра) |
Актуализация на защитата |
|
|
Windows Server 2019 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
|
Windows Server 2019 |
Актуализация на защитата |
|
|
Windows Server 2016 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
|
Windows Server 2016 |
Актуализация на защитата |
|
|
Windows Server 2012 R2 (основна инсталация на сървър) |
Месечен сбор |
|
|
Само за защита |
||
|
Windows Server 2012 R2 |
Месечен сбор |
|
|
Само за защита |
||
|
Windows Server 2012 (инсталация на ядрото на сървъра) |
Месечен сбор |
|
|
Само за защита |
||
|
Windows Server 2012 |
Месечен сбор |
|
|
Само за защита |
||
|
Windows Server 2008 R2 Service Pack 1 |
Месечен сбор |
|
|
Само за защита |
||
|
Windows Server 2008 Service Pack 2 |
Месечен сбор |
|
|
Само за защита |
Стъпка 2: разрешаване на режим на принудително изпълнение
След като всички устройства, които хостват ролята на домейновия контролер за Active Directory, са актуализирани, изчакайте поне една пълна седмица , за да изтече срокът на всички неизплатени S4U2self за услугата за услуги на Kerberos. След това разрешете пълна защита, като разположите режима на изпълнение. За да направите това, разрешете ключа от системния регистър за режим на принудително изпълнение.
Предупреждение Сериозни проблеми могат да възникнат, ако модифицирате системния регистър неправилно с помощта на редактора на системния регистър или като използвате друг метод. Тези проблеми може да се наложи да преинсталирате операционната система. Microsoft не може да гарантира, че тези проблеми могат да бъдат разрешени. Променете регистъра на свой собствен риск.
Забележка Тази актуализация въвежда поддръжка за следните стойности на системния регистър за разрешаване на режим на принудително изпълнение. Тази стойност от системния регистър не е създадена чрез инсталирането на тази актуализация. Трябва да добавите ръчно тази стойност на системния регистър.
|
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Стойност |
PerformTicketSignature |
|
Тип на данните |
REG_DWORD |
|
Данни |
1: разрешава режим на разполагане. Корекцията е разрешена в домейновия контролер, но домейн контролерът на Active Directory не изисква услугите за услуги на Kerberos да съответстват на корекцията. Този режим добавя поддръжка за подписи на билети на CVE – 2020-17049 актуализираните домейнови контролери, но домейновите контролери не изискват да се подписват билети. Това позволява комбинация от първоначални фази на разполагане (DCs, актуализирана до актуализацията на първоначалната актуализация за декември) и актуализираните домейнови контролери да съществуват едновременно. С всички домейнови контролери актуализирани и при настройка 1, ще бъдат подписани всички нови билети. В този режим нови билети ще бъдат маркирани като подновяеми. 2: разрешава режим на принудително изпълнение това разрешава корекцията в задължителен режим, където всички домейни трябва да бъдат актуализирани и всички домейнови контролери на Active Directory изискват абонаменти за услугата Kerberos. С тази настройка всички билети трябва да бъдат подписани, за да бъдат счетени за валидни. В този режим билетите отново ще бъдат маркирани като възобновяеми. 0: не се препоръчва. Забраняват се подписи на Kerberos за абонаменти за услугата и вашите домейни не са защитени. Важно Настройката 0 не е съвместима с настройката за принудително изпълнение 2. Неуспешни грешки при удостоверяване могат да възникнат, ако режимът на принудително изпълнение е приложен по-късен етап, докато домейнът е зададен на 0. Препоръчваме на клиентите да се придвижат към настройка 1 преди етапа на принудително изпълнение (поне седмица, преди да се приложи принудително изпълнение). |
|
По подразбиране |
1 (когато не е зададен ключ в системния регистър) |
|
Изисква ли се рестартиране? |
Не |
