DŮLEŽITÉ Datum režimu vynucení, jak bylo uvedeno v tomto článku, se změnilo na 9. března 2021. |
Shrnutí
Pokud používáte chráněné uživatele a vynucené delegování založené na zdrojích (RBCD), může v řadičích domény služby Active Directory existovat chyba zabezpečení. Další informace o chybě zabezpečení najdete v tématu CHYBA ZABEZPEČENÍ-2020-16996.
Akce Abyste chránili prostředí a zabránili výpadkům, musíte udělat toto:
|
Časování aktualizací
Tyto Windows se vydaná ve dvou fázích:
-
Fáze příprava nasazení aktualizace Windows vydané 8. prosince 2020 nebo po této fázi.
-
Fáze vynucení aktualizací Windows vydané 9. března 2021 nebo po této fázi.
8. prosince 2020: Fáze počátečního nasazení
Fáze příprava nasazení začíná aktualizací Windows vydanou 8. prosince 2020 a pokračuje pozdější aktualizací Windows pro fázi vynucení. Tyto a novější Windows změny protokolu Kerberos.
Tato verze:
-
Řeší chybu CVE-2020-16996 (ve výchozím nastavení je zakázané).
-
Přidá podporu pro hodnotu registru NonForwardableDelegation, aby bylo možné povolit ochranu na serverech řadičů domény služby Active Directory. Ve výchozím nastavení tato hodnota neexistuje.
Zmírňování se skládá z instalace aktualizací Windows na všech zařízeních, která hostují roli řadiče domény Active Directory a řadiče domény jen pro čtení, a povolení režimu vynucení.
9. března 2021: Fáze vynucení
Přechody vynucování z 9. března 2021 do fáze vynucení. Fáze vynucení vynucuje změny adresy CVE-2020-16996. Řadiče domény služby Active Directory budou teď v režimu vynucení, pokud není klíč registru režimu vynucení nastavený na hodnotu 1 (zakázáno). Pokud je nastavený klíč registru Režim vynucení, bude toto nastavení doceněn. Režim vynucení vyžaduje, aby všechny řadiče domény služby Active Directory byly nainstalované aktualizace z 8. prosince 2020 nebo novější aktualizace.
Pokyny k instalaci
Před instalací této aktualizace
Před použitím této aktualizace musíte mít nainstalované následující požadované aktualizace. Pokud použijete Windows Update, budou tyto požadované aktualizace nabízeny automaticky podle potřeby.
-
Musíte mít nainstalovanou aktualizaci SHA-2(KB4474419)z 23. září 2019 nebo novější aktualizaci SHA-2 a pak před použitím této aktualizace restartujte zařízení. Další informace o aktualizacích SHA-2 najdete v článku Požadavek na podporu podepisování kódu sha-2 2019pro Windows a službu WSUS .
-
Pro Windows Server 2008 R2 SP1 musíte mít nainstalovanou servisní aktualizaci zásobníku (SSU)(KB4490628),která je datovaná 12. března 2019. Po instalaci aktualizace KB4490628 doporučujeme nainstalovat nejnovější aktualizaci SSU. Další informace o nejnovější aktualizaci SSU najdete v článku ADV990001 | Nejnovější aktualizace zásobníku údržby
-
Pro Windows Server 2008 SP2 musíte mít nainstalovanou servisní aktualizaci zásobníku (SSU)(KB4493730),která je datovaná 9. dubna 2019. Po instalaci aktualizace KB4493730 doporučujeme nainstalovat nejnovější aktualizaci SSU. Další informace o nejnovějších aktualizacích SSU najdete v článku ADV990001 | Nejnovější aktualizace zásobníku údržby
-
Zákazníci musí zakoupit rozšířenou aktualizaci zabezpečení (ESU) pro místní verze Windows Server 2008 SP2 nebo Windows Server 2008 R2 SP1 po ukončení rozšířené podpory 14. ledna 2020. Zákazníci, kteří si koupili ESU, musí dodržovat postupy uvedené v článku KB4522133, aby mohli dál dostávat aktualizace zabezpečení. Další informace o esu a podporovaných edicích najdete v článku KB4497181.
Důležité:Po instalaci těchto požadovaných aktualizací musíte zařízení restartovat.
Instalace aktualizace
Pokud chcete tuto chybu zabezpečení vyřešit, nainstalujte Windows aktualizace a povolte režim vynucení pomocí těchto kroků.
Upozornění K občasným problémům s ověřováním může dojít, Windows tyto aktualizace a hodnota registru se nekonzistentně používají v jednom nebo obou následujících scénářích:
Důležité Aktualizace Windows a hodnota registru musí být konzistentně použity na všech řadičích domény služby Active Directory ve vašem prostředí. |
Krok 1: Instalace Windows aktualizace
Nainstalujte aktualizaci z 8. prosince 2020 Windows nebo novější aktualizaci Windows na všechna zařízení, která hostí roli řadiče domény active directory v doménové struktuře, včetně řadičů domény jen pro čtení.
Windows Server |
KB # |
Typ aktualizace |
Windows Server, verze 20H2 (instalace Server Core) |
Aktualizace zabezpečení |
|
Windows Server, verze 2004 (instalace Server Core) |
Aktualizace zabezpečení |
|
Windows Server, verze 1909 (instalace Server Core) |
Aktualizace zabezpečení |
|
Windows Server, verze 1903 (instalace Server Core) |
Aktualizace zabezpečení |
|
Windows Server 2019 (instalace Server Core) |
Aktualizace zabezpečení |
|
Windows Server 2019 |
Aktualizace zabezpečení |
|
Windows Server 2016 (instalace Server Core) |
Aktualizace zabezpečení |
|
Windows Server 2016 |
Aktualizace zabezpečení |
|
Windows Server 2012 R2 (instalace Server Core) |
Měsíční kumulativní aktualizace |
|
Pouze zabezpečení |
||
Windows Server 2012 R2 |
Měsíční kumulativní aktualizace |
|
Pouze zabezpečení |
||
Windows Server 2012 (instalace Server Core) |
Měsíční kumulativní aktualizace |
|
Pouze zabezpečení |
||
Windows Server 2012 |
Měsíční kumulativní aktualizace |
|
Pouze zabezpečení |
||
Windows Server 2008 R2 Service Pack 1 |
Měsíční kumulativní aktualizace |
|
Pouze zabezpečení |
||
Windows Server 2008 Service Pack 2 |
Měsíční kumulativní aktualizace |
|
Pouze zabezpečení |
Krok 2: Povolení režimu vynucení
Po aktualizaci všech zařízení, která jsou hostitelem role řadiče domény služby Active Directory, počkejte aspoň celý den, aby vypršela platnost všech nevyřízených lístků služby Kerberos pro uživatele s vlastním oprávněním (S4U2self). Potom povolte úplnou ochranu nasazením režimu vynucení. To můžete udělat tak, že povolíte klíč registru Režimu vynucení.
Upozornění Pokud registr změníte nesprávně pomocí Editoru registru nebo jiným způsobem, může dojít k vážným problémům. Tyto problémy můžou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy budou možné vyřešit. Upravte registr na vlastní nebezpečí.
Poznámka Tato hodnota registru není vytvořena instalací této aktualizace. Tuto hodnotu registru musíte přidat ručně.
Podklíč registru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Hodnota |
NonForwardableDelegation |
Datový typ |
REG_DWORD |
Data |
1:Zakáže režim vynucení. 0:Povolí režim vynucení. Toto je chráněný stav. |
Výchozí hodnota |
1 |
Je potřeba restartovat počítač? |
Ne |
Poznámky k hodnotě registru NonForwardableDelegation:
-
Pokud je nastavená hodnota registru, bude mít přednost před nastavením režimu vynucení, které je součástí aktualizací Windows 9. března 2021.
-
Pokud je hodnota registru nastavená na hodnotu 1 (Zakázat), bude předávání povoleno u lístků služby Kerberos, které nejsou označené jako přeposílání.
-
Pokud je hodnota registru nastavená na hodnotu 0 (Povolit), nebude předávání povoleno u lístků služby Kerberos, které nejsou označené jako přeposílání.
-
-
Pokud vaše doména zahrnuje Windows Server 2008 R2 nebo starší řadiče domény Active Directory, není možné nastavit režim vynucení, protože tyto řadiče domény nepodporují RBCD.
-
Pokud se při povolení režimu vynucení ne aktualizují všechny řadiče domény Active Directory konzistentně, dojde k občasné chybě delegování služby.
-
Před nastavením režimu vynucení:
-
Všechny řadiče domény služby Active Directory musí být aktualizovány aktualizací Windows 8. prosince 2020 nebo novější aktualizací Windows a
-
Všechny nevyřízené lístky služby Kerberos S4USelf musí vypršely tak, že po dokončení nasazení Windows aktualizace na všechny řadiče domény služby Active Directory vypršela.
-
Další důležité informace
Pokud je tato ochrana povolená, sjednocuje logiku pro Resource-Based delegování (RBCD) s původním omezeným delegováním. To může způsobit problémy ve dvou následujících situacích:
-
Jedna služba současně používá původní delegování protokolu Kerberos (KCD) bez přechodu protokolu na jeden cíl, zatímco používá RBCD s přechodem protokolu na jiný. Po této změně se pro oba styly delegování použije odmítnutí přechodu protokolu.
-
RBCD se používá v doméně, která používá řadiče domény, které nejsou aktualizovány pomocí aplikace CVE-2020-16996 nebo se staršími verzemi serveru Windows (starší než Window Server 2012), které nemají k dispozici aktualizaci pro protokol CVE-2020-16996. Ne aktualizovaná centra distribuce klíčů nebudou u delegování a přechodu protokolu označit lístky služby S4USelf Kerberos jako v pořádku.