Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

АКТУАЛИЗИРА 20 март 2023 г. - Раздел Наличност

Резюме

Протоколът за отдалечен модел на разпределен компонент (DCOM) е протокол за излагане на обекти на приложения с помощта на извиквания на отдалечена процедура (RPC). DCOM се използва за комуникация между софтуерните компоненти на мрежовите устройства. Промените в DCOM са необходими за CVE-2021-26414. Затова препоръчваме да проверите дали клиентските или сървърните приложения във вашата среда, които използват DCOM или RPC, работят по очаквания начин с активирани промени за подсилване.

Забележка Силно препоръчваме да инсталирате най-новата налична актуализация на защитата. Те предоставят разширена защита от най-новите заплахи за защитата. Те също така предоставят възможности, които сме добавили за поддръжка на миграцията. За повече информация и контекст относно това как втвърдяваме DCOM, вижте Подсилване на DCOM удостоверяване: това, което трябва да знаете.

Първата фаза на актуализациите на DCOM е издадена на 8 юни 2021 г. В тази актуализация DCOM подсилването е забранено по подразбиране. Можете да ги разрешите, като промените системния регистър, както е описано в раздела "Настройка на системния регистър за разрешаване или забраняване на промените за подсилване" по-долу. Втората фаза на актуализациите на DCOM беше издадена на 14 юни 2022 г. Това промени втвърдяването, така че да е разрешено по подразбиране, но запазва възможността за забраняване на промените, като се използват настройките на ключа от системния регистър. Последната фаза на актуализациите на DCOM ще бъде издадена през март 2023 г. Тя ще запази Втвърдяването на DCOM разрешено и премахване на възможността да го забраните.

Времева линия

Издание на актуализацията

Промяна в поведението

8 юни 2021 г.

Издание на фаза 1 – Втвърдяването на промените е забранено по подразбиране, но с възможност да ги разрешите чрез ключ от системния регистър.

14 юни 2022 г.

Издание от фаза 2 – втвърдяване на промените, разрешени по подразбиране, но с възможност за забраняване чрез ключ от системния регистър.

14 март 2023 г.

Издание на фаза 3 – втвърдяване на промените, разрешени по подразбиране, без възможност да ги забранявате. По този въпрос трябва да разрешите всички проблеми със съвместимостта с промените и приложенията за втвърдяване във вашата среда.

Тестване за съвместимост на DCOM втвърдяване

Нови събития за DCOM грешки

За да ви помогнем да идентифицирате приложенията, които може да имат проблеми със съвместимостта, след като разрешим промените за подсилване на защитата на DCOM, добавихме нови събития за DCOM грешки в регистрационния файл на системата. Вижте таблиците по-долу. Системата ще регистрира тези събития, ако открие, че DCOM клиентско приложение се опитва да активира DCOM сървър с помощта на ниво на удостоверяване, по-малко от RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Можете да проследите до клиентското устройство от регистрационния файл на събитията от страната на сървъра и да използвате регистрите на събитията от страна на клиента, за да намерите приложението.

Събития на сървъра – Указване, че сървърът получава искания от по-ниско ниво

ИД на събитие

Съобщение

10036

"Правилата за ниво на удостоверяване от страна на сървъра не позволяват на потребителя %1\%2 SID (%3) от адрес %4 да активира DCOM сървър. Повдигнете нивото на удостоверяване на активиране поне за да RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клиентското приложение."

(%1 – домейн, %2 – потребителско име, %3 – ПОТРЕБИТЕЛСКИ SID, %4 – IP адрес на клиента)

Клиентски събития – посочете кое приложение изпраща искания от по-ниско ниво

ИД на събитие

Съобщение

10037

"Приложение %1 с PID %2 иска да активира CLSID %3 на компютър %4 с изрично зададено ниво на удостоверяване на %5. Най-ниското ниво на удостоверяване на активиране, изисквано от DCOM, е 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). За да повишите нивото на удостоверяване на активирането, се свържете с доставчика на приложението."

10038

"Приложение %1 с PID %2 иска да активира CLSID %3 на компютър %4 с ниво на удостоверяване по подразбиране за активиране на %5. Най-ниското ниво на удостоверяване на активиране, изисквано от DCOM, е 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). За да повишите нивото на удостоверяване на активирането, се свържете с доставчика на приложението."

(%1 – Път на приложение, %2 – PID на приложение, %3 – CLSID от COM класа, който приложението иска да активира, %4 – Име на компютъра, %5 – Стойност на нивото на удостоверяване)

Наличност

Тези събития за грешки са налични само за подмножество на версии на Windows; вижте таблицата по-долу.

Версия на Windows

Налични на или след тези дати

Windows Server 2022

27 септември 2021 г.

KB5005619

Windows 10, версия 2004, Windows 10, версия 20H2, Windows 10, версия 21H1

1 септември 2021 г.

KB5005101

Windows 10, версия 1909

26 август 2021 г.

KB5005103

Windows Server 2019, Windows 10, версия 1809

26 август 2021 г.

KB5005102

Windows Server 2016, Windows 10, версия 1607

Септември 14, 2021 г.

KB5005573

Windows Server 2012 R2 и Windows 8.1

12 октомври 2021 г.

KB5006714

Windows 11, версия 22H2

30 септември 2022 г.

KB5017389

Корекция за автоматично повишаване на искането от страна на клиента

Ниво на удостоверяване за всички не анонимни искания за активиране

За да намалим проблемите със съвместимостта на приложенията, автоматично повишихме нивото на удостоверяване за всички не анонимни искания за активиране от базирани на Windows DCOM клиенти, за да RPC_C_AUTHN_LEVEL_PKT_INTEGRITY като минимум. С тази промяна повечето базирани на Windows DCOM клиентски заявки автоматично ще бъдат приети с промените DCOM втвърдяване, разрешени от страната на сървъра без никакви допълнителни промени в DCOM клиента. Освен това повечето клиенти на Windows DCOM автоматично ще работят с промени за втвърдяване на DCOM от страна на сървъра без никакви допълнителни промени в DCOM клиента.

Забележка Тази корекция ще продължи да бъде включена в кумулативните актуализации.

Времева линия за актуализиране на корекция

От първоначалното издание през ноември 2022 г., корекцията за автоматично повишаване е имала няколко актуализации.

  • Актуализация от ноември 2022 г.

    • Тази актуализация автоматично повишава нивото на удостоверяване на активирането на целостта на пакетите. Тази промяна е забранена по подразбиране в Windows Server 2016 и Windows Server 2019.

  • Актуализация от декември 2022 г.

    • Промяната от ноември е разрешена по подразбиране за Windows Server 2016 и Windows Server 2019.

    • Тази актуализация също така обърнато внимание на проблем, който е засегнал анонимно активиране на Windows Server 2016 и Windows Server 2019.

  • Актуализация от януари 2023 г.

    • Тази актуализация обърнато е внимание на проблем, който засяга анонимното активиране на платформи от Windows Server 2008 до Windows 10 (първоначалната версия е издадена през юли 2015 г.).

Ако сте инсталирали кумулативните актуализации на защитата, считано от януари 2023 г. на вашите клиенти и сървъри, те ще имат напълно разрешена най-новата корекция за автоматично издигане.

Настройка на системния регистър за разрешаване или забраняване на промените за подсилване

По време на фазите на времевата линия, в които можете да разрешите или забраните промените за втвърдяване за CVE-2021-26414, можете да използвате следния ключ от системния регистър:

  • Път: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Име на стойност: "RequireIntegrityActivationAuthenticationLevel"

  • Тип: dword

  • Данни за стойност: по подразбиране= 0x00000000 означава забранено. 0x00000001 означава разрешено. Ако тази стойност не е дефинирана, тя ще бъде разрешена по подразбиране.

Забележка Трябва да въведете данни за стойности в шестнадесетичен формат.

Важно Трябва да рестартирате устройството, след като настроите този ключ от системния регистър, за да влезе в сила.

Забележка Разрешаването на ключа от системния регистър по-горе ще направи DCOM сървърите да налагат Authentication-Level на RPC_C_AUTHN_LEVEL_PKT_INTEGRITY или по-нова версия за активиране. Това не засяга анонимно активиране (активиране с помощта на ниво на удостоверяване RPC_C_AUTHN_LEVEL_NONE). Ако DCOM сървърът позволява анонимно активиране, той все още ще бъде разрешен дори при промени за втвърдяване на DCOM са разрешени.

Забележка Тази стойност на системния регистър не съществува по подразбиране; трябва да го създадете. Windows ще я прочете, ако съществува, и няма да я презапише.

Забележка Инсталирането на по-късни актуализации няма да промени или премахне съществуващи записи и настройки в системния регистър.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider