Důležité informace: Data verzí, která byla dříve uvedená v tomto článku, se změnila. Všimněte si prosím nových dat vydání v částech Take Action (Akce) a Timing of these Windows updates (Časování těchto aktualizací Windows).
Shrnutí
Ve způsobu, jakým Centrum distribuce klíčů (KDC) určuje, jestli se k delegování pomocí delegování pomocí KCD (Kerberos Constrained Delegation) používá lístek služby Kerberos, existuje ohrožení zabezpečení. Ohrožená služba, která je nakonfigurovaná tak, aby využívala KCD, by mohla využít lístek služby Kerberos, který není platný pro delegování, a vynutit tak přijetí služby KDC. Tyto aktualizace Windows řeší tuto chybu zabezpečení změnou způsobu, jakým KDC ověřuje lístky služby Kerberos používané pomocí KCD.
Další informace o této ohrožení zabezpečení najdete v tématu SESA-2020-17049.
|
Provést akci Pokud chcete chránit své prostředí a předcházet výpadkům, musíte postupovat podle těchto pokynů:
|
Načasování těchto aktualizací Windows
Tyto aktualizace Pro Windows budou vydány ve třech fázích:
-
Fáze příprava nasazení aktualizací Pro Windows vydaná 8. prosince 2020 nebo po této fázi.
-
Druhá fáze nasazení, která odebere nastavení PerformTicketSignature0 a vyžaduje nastavení 1 nebo 2,dne nebo po 13. dubnu 2021.
-
Fáze vynucení aktualizací pro Windows vydaná 13. července 2021 nebo po této aktualizaci
8. prosince 2020: Fáze počátečního nasazení
Fáze příprava nasazení začíná aktualizací Windows vydanou 8. prosince 2020 a pokračuje v pozdější aktualizaci Windows ve fázi vynucení. Tyto a novější aktualizace Systému Windows proberou změny protokolu Kerberos. Tato aktualizace z 8. prosince 2020 obsahuje opravy pro všechny známé problémy, které byly původně zavedeny ve verzi 10. listopadu 2020, KTEROU jsme vy aktualizací 2020–17049 zavedli. Tato aktualizace také přidává podporu pro Windows Server 2008 SP2 a Windows Server 2008 R2.
Tato verze:
-
Adresy SESA-2020-17049 (ve výchozím nastavení v režimu nasazení)
-
Přidá podporu hodnoty registru PerformTicketSignature, aby se zapnout ochrana na serverech řadičů domény Active Directory. Ve výchozím nastavení tato hodnota neexistuje.
Omezení je tvořeno instalací aktualizací Windows na všech zařízeních, která hostují roli řadičů domény Active Directory, a řadičů domény jen pro čtení (RODCs) a pak povolení režimu vynucení.
13. dubna 2021: Druhá fáze nasazení
Druhá fáze nasazení začíná aktualizací Windows vydanou 13. dubna 2021. Tato fáze odebere nastavení PerformTicketSignature0. Nastavení PerformTicketSignature na 0 po instalaci této aktualizace bude mít stejný účinek jako nastavení PerformTicketSignature na 1. Počítače budou v režimu nasazení.
Poznámky:
-
Tato fáze není nutná, pokud funkce PerformTicketSignature nebyla ve vašem prostředí nikdy nastavena na hodnotu 0. Tato fáze pomáhá zajistit, aby se zákazníci, kteří nastavili PerformTicketSignature nahodnotu 0, přesunuli před fází Vynucení na hodnotu 1.
-
Po nasazení aktualizací z 13. dubna 2021 nastavíte PerformTicketSignature na 1 a budete mít možnost obnovit servisní lístky. To je změna v chování před dubnem 2021, kdy se nastavení PerformTicketSignature nahodnotu 1 způsobilo, že lístky služeb nebyly obnovitelné.
-
Tato aktualizace předpokládá, že všechny řadiče domény se aktualizují o aktualizace z 8. prosince 2020 nebo novější aktualizace.
-
Po instalaci této aktualizace a ručním nebo programovém nastavení PerformTicketSignature na 1 nebo vyšší nebudou nepodporované řadiče domény systému Windows Server fungovat s podporovanými řadiči domény. Zahrnuje to Windows Server 2008 a Windows Server 2008 R2 bez rozšířených aktualizací zabezpečení (ESU) a Windows Server 2003.
13. července 2021: Fáze vynucení
Přechody z 13. července 2021 do fáze vynucení. Fáze vynucení vynucuje změny adresy SESI-2020-17049. Řadiče domény služby Active Directory jsou teď schopny režim vynucení. Režim vynucení vyžaduje, aby všechny řadiče domény Active Directory měl nainstalovanou aktualizaci z 8. prosince 2020 nebo novější. V tomto okamžiku se nastavení klíče registru PerformTicketSignature ignoruje a režim vynucení se nemůže přepsat.
Pokyny k instalaci
Před instalací této aktualizace
Před použitím této aktualizace musíte mít nainstalované následující požadované aktualizace. Pokud používáte Službu Windows Update, budou tyto požadované aktualizace nabízeny automaticky podle potřeby.
-
Musíte mít nainstalovanou aktualizaci SHA-2(KB4474419)zastaralou 23. září 2019 nebo novější aktualizaci SHA-2 a potom před použitím této aktualizace restartujte zařízení. Další informace o aktualizacích sha-2 najdete v článku 2019– požadavek na podepisování kódu SHA-2 pro Windows a WSUS.
-
Pro Windows Server 2008 R2 SP1 musíte mít nainstalovanou aktualizaci sady služeb(SSU) (KB4490628),která je zastaralá 12. března 2019. Po instalaci aktualizace KB4490628 doporučujeme nainstalovat nejnovější aktualizaci SSU. Další informace o nejnovější aktualizaci SSU najdete v článku ADV990001 | Nejnovější aktualizace sady služeb
-
Pro Windows Server 2008 SP2 musíte mít nainstalovanou aktualizaci sady služeb(SSU) (KB4493730)s datem 9. dubna 2019. Po instalaci aktualizace KB4493730 doporučujeme nainstalovat nejnovější aktualizaci SSU. Další informace o nejnovějších aktualizacích SSU najdete v článku ADV990001 | Nejnovější aktualizace sady služeb
-
Zákazníci musí koupit rozšířenou aktualizaci zabezpečení (ESU) pro místní verze Windows Serveru 2008 SP2 nebo Windows Serveru 2008 R2 SP1 po ukončení rozšířené podpory 14. ledna 2020. Zákazníci, kteří koupili ESU, musí postupovat podle pokynů v aktualizaci KB4522133, aby mohli dál dostávat aktualizace zabezpečení. Další informace o ESU a podporovaných edicích najdete v článku KB4497181.
Důležité Po instalaci těchto požadovaných aktualizací musíte zařízení restartovat.
Nainstalovat všechny aktualizace
Pokud chcete vyřešit chybu zabezpečení, nainstalujte všechny aktualizace Windows a povolte režim vynucení pomocí těchto kroků:
-
Nasaďte alespoň jednu z aktualizací od 8. prosince 2020 do 9. března 2021 do všech řadičů domény Active Directory v doménové struktuře.
-
Nasaďte aktualizaci z 12. dubna 2021 alespoň jeden nebo více týdnů po kroku 1.
-
Po aktualizaci všech řadičů domény ve službě Active Directory počkejte aspoň týden, až budou povolené všechny nevyřízené služby pro uživatele k ukončení platnosti servisních lístků protokolu Kerberos (S4U2 kerberos), a pak můžete nasazením režimu vynucení řadičů domény služby Active Directory povolit úplnou ochranu.
Poznámky-
Pokud jste změnili doby vypršení platnosti lístku služby Kerberos z výchozího nastavení (výchozí hodnota je 7 dní), musíte počkat aspoň počet dní nakonfigurovaný ve vašem prostředí.
-
Tento postup předpokládá, že funkce PerformTicketSignature nebyla ve vašem prostředí nikdy nastavena na hodnotu 0. Pokud je funkce PerformTicketSignature nastavená na hodnotu 0,musíte přejít na nastavení 1 před přechodem na nastavení 2 (režim vynucení) a počkejte aspoň týden, než vyprší platnost všech nevyřízených služeb pro uživatele k protokolu Kerberos (S4U2 z protokolu Kerberos). Z nastavení 0 na nastavení 2 (režim vynucení) byste neměli přejít přímo.
-
Krok 1: Instalace aktualizací Windows
Nainstalujte příslušnou aktualizaci Windows z 8. prosince 2020 nebo novější aktualizaci Windows na všechna zařízení, která hostí roli řadičů domény Active Directory v doménové struktuře, včetně řadičů domény jen pro čtení.
|
Produkt Windows Serveru |
kB # |
Typ aktualizace |
|
Windows Server verze 20H2 (základní instalace serveru) |
Aktualizace zabezpečení |
|
|
Windows Server verze 2004 (instalace Základní server) |
Aktualizace zabezpečení |
|
|
Windows Server verze 1909 (instalace Základní server) |
Aktualizace zabezpečení |
|
|
Windows Server verze 1903 (instalace Základní server) |
Aktualizace zabezpečení |
|
|
Windows Server 2019 (instalace Základní server) |
Aktualizace zabezpečení |
|
|
Windows Server 2019 |
Aktualizace zabezpečení |
|
|
Windows Server 2016 (instalace Základní server) |
Aktualizace zabezpečení |
|
|
Windows Server 2016 |
Aktualizace zabezpečení |
|
|
Windows Server 2012 R2 (instalace Základního serveru) |
Měsíční kumulativní aktualizace |
|
|
Pouze zabezpečení |
||
|
Windows Server 2012 R2 |
Měsíční kumulativní aktualizace |
|
|
Pouze zabezpečení |
||
|
Windows Server 2012 (instalace Základní server) |
Měsíční kumulativní aktualizace |
|
|
Pouze zabezpečení |
||
|
Windows Server 2012 |
Měsíční kumulativní aktualizace |
|
|
Pouze zabezpečení |
||
|
Windows Server 2008 R2 Service Pack 1 |
Měsíční kumulativní aktualizace |
|
|
Pouze zabezpečení |
||
|
Windows Server 2008 Service Pack 2 |
Měsíční kumulativní aktualizace |
|
|
Pouze zabezpečení |
Krok 2: Povolení režimu vynucení
Až se aktualizuje všechna zařízení, která hostují roli řadiče domény Active Directory, počkejte aspoň týden, než vyprší platnost všech nevyřízených lístků služby S4U2 na protokolu Kerberos. Pak můžete povolit úplnou ochranu tak, že nasadíte režim vynucení. To můžete udělat tak, že povolíte klíč registru v režimu vynucení.
Upozornění Pokud pomocí Editoru registru nebo jiným způsobem změníte registr nesprávně, může dojít k vážným problémům. Tyto problémy by mohly vyžadovat přeinstalaci operačního systému. Microsoft nezaručuje, že se tyto problémy řeší. Registr upravujete na vlastní nebezpečí.
Poznámka Tato aktualizace zavádí podporu pro následující hodnotu registru, která umožňuje režim vynucení. Tato hodnota registru není vytvořená instalací této aktualizace. Tuto hodnotu registru je nutné přidat ručně.
|
Podklíč registru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Hodnota |
PerformTicketSignature |
|
Datový typ |
REG_DWORD |
|
Data |
1:Povolí režim nasazení. Oprava je v řadiči domény povolená, ale řadič domény Active Directory nevyžaduje, aby požadavky služby Kerberos odpovídaly opravě. V tomto režimu je přidána podpora pro podpisy lístků v aktualizovaných ovladačích domény SESA-2020-17049, ale řadičé domény nevyžadují podepsání lístků. Umožňuje kombinaci fází počátečního nasazení (aktualizace na prosincové aktualizaci počátečního nasazení) a aktualizovaných řadičů domény tak, aby byly společně k dispozici. Všechny nové lístky budou aktualizované a při nastavení 1budou podepsány. V tomto režimu se nové lístky označí jako obnovitelnou. 2:Povolení režimu vynucení umožňuje opravu v požadovaném režimu, ve kterém musí být aktualizované všechny domény a všechny řadiče domény Active Directory vyžadují lístky služby Kerberos s podpisy. Při tomto nastavení musí být všechny lístky podepsány, aby byly považovány za platné. V tomto režimu se lístky znovu označí jako obnovitelnou. 0:Nedoporučuje se. Zakáže podpisy lístky služby Kerberos a vaše domény nejsou chráněny. Důležité: Nastavení 0 není kompatibilní s nastavením vynucení 2. Občas dochází k chybám ověření, pokud se režim vynucení použije později v fázi, kdy je doména nastavená na hodnotu 0. Doporučujeme zákazníkům přejít před vynucováním na hodnotu 1 (minimálně týden před uplatněním vynucení). |
|
Výchozí hodnota |
1 (pokud není nastavený klíč registru) |
|
Je potřeba restartovat počítač? |
Ne |
