VIGTIGT Datoen for håndhævelsestilstand som tidligere nævnt i denne artikel er ændret til 9. marts 2021. |
Oversigt
Hvis du bruger beskyttede brugere og ressourcebaseret begrænsningsdelegering (RBCD), kan der være en sikkerhedsrisiko på Active Directory-domænecontrollere. Du kan få mere at vide om sikkerhedsrisikoen under CVE-2020-16996.
Gør noget For at beskytte dit miljø og forhindre strømsvigt skal du gøre følgende:
|
Tidsindstilling for opdateringer
Disse Windows opdateringer frigives i to faser:
-
Fasen installationsstart for de Windows der blev udgivet d. 8. december 2020 eller senere.
-
Håndhævelsesfasen for de Windows, der udgives d. eller efter d. 9. marts 2021.
8. december 2020: Indledende installationsfase
Fasen installationsstart med den Windows opdatering, der blev udgivet d. 8. december 2020 og fortsætter med en Windows opdatering til håndhævelsesfasen. Disse og senere Windows foretager ændringer i Kerberos.
Denne version:
-
Adresser CVE-2020-16996 (deaktiveret som standard).
-
Tilføjer understøttelse af registreringsdatabaseværdien NonForwardableDelegation for at aktivere beskyttelse på Active Directory-domænecontrollerservere. Som standard findes værdien ikke.
Afhjælpning består af installation af opdateringer til Windows på alle enheder, der er vært for active directory-domænecontrollerrollen og skrivebeskyttede domænecontrollere (RODC'er), og aktiverer derefter aktiveringstilstand.
9. marts 2021: Håndhævelsesfase
Udgivelsesversionen for 9. marts 2021 skifter til håndhævelsesfasen. Håndhævelsesfasen gennemtvinger ændringerne i adresse-CVE-2020-16996. Active Directory-domænecontrollere er nu i håndhævelsestilstand, medmindre registreringsdatabasenøglen i håndhævelsestilstand er indstillet til 1 (deaktiveret). Hvis registreringsdatabasenøglen i registreringstilstand er angivet, bliver indstillingen imødekommet. Hvis du vil aktivere tilstanden Håndhævelse, skal alle Active Directory-domænecontrollere have opdateringen fra d. 8. december 2020 eller en nyere opdatering installeret.
Installationsvejledning
Før du installerer denne opdatering
Du skal have følgende nødvendige opdateringer installeret, før du anvender denne opdatering. Hvis du bruger Windows opdatering, tilbydes disse nødvendige opdateringer automatisk efter behov.
-
Du skal have SHA-2-opdateringen(KB4474419),der er dateret d. 23. september 2019 eller en nyere SHA-2-opdatering, installeret, og derefter genstarte enheden, før du anvender denne opdatering. Du kan finde flere oplysninger om SHA-2-opdateringer i 2019 SHA-2 kravtil kodeunderstøttelse for Windows og WSUS.
-
For Windows Server 2008 R2 SP1 skal du have installeret SSU (Servicing Stack Update) (KB4490628),der er dateret d. 12. marts 2019. Når opdateringen KB4490628 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om den seneste SSU-opdatering under ADV990001 | Seneste opdateringer til servicing-stakken.
-
Til Windows Server 2008 SP2 skal du have installeret SSU (Servicing Stack Update) (KB4493730),der er dateret d. 9. april 2019. Når opdateringen KB4493730 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om de seneste SSU-opdateringer under ADV990001 | Seneste opdateringer til servicing-stakken.
-
Kunder skal købe den udvidede sikkerhedsopdatering (ESU) til lokale versioner af Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1, efter udvidet support ophørte d. 14. januar 2020. Kunder, der har købt ESU, skal følge procedurerne i KB4522133 for at fortsætte med at modtage sikkerhedsopdateringer. Du kan finde flere oplysninger om ESU, og hvilke versioner der understøttes, under KB4497181.
VigtigtDu skal genstarte enheden, når du har installeret disse nødvendige opdateringer.
Installér opdateringen
For at løse sikkerhedsrisikoen skal du installere opdateringerne Windows aktivere aktiveringstilstand ved at følge disse trin.
Advarsel! Der kan forekomme periodisk godkendelsesproblemer, hvis disse Windows opdateringer, og værdien i registreringsdatabasen anvendes inkonsekvent i et eller begge af følgende scenarier:
Vigtigt Både Windows opdateringer og registreringsdatabaseværdien skal anvendes konsekvent på ALLE Active Directory-domænecontrollere i dit miljø. |
Trin 1: Installer Windows opdatering
Installér opdateringen fra Windows fra d. 8. december 2020 eller en nyere Windows på alle enheder, der er vært for Active Directory-domænecontrollerrollen i skoven, herunder skrivebeskyttede domænecontrollere.
Windows Server-produkt |
KB # |
Opdateringstype |
Windows Server, version 20H2 (Server Core Installation) |
Sikkerhedsopdatering |
|
Windows Server, version 2004 (Server Core-installation) |
Sikkerhedsopdatering |
|
Windows Server, version 1909 (Server Core-installation) |
Sikkerhedsopdatering |
|
Windows Server, version 1903 (Server Core-installation) |
Sikkerhedsopdatering |
|
Windows Server 2019 (Server Core-installation) |
Sikkerhedsopdatering |
|
Windows Server 2019 |
Sikkerhedsopdatering |
|
Windows Server 2016 (Server Core-installation) |
Sikkerhedsopdatering |
|
Windows Server 2016 |
Sikkerhedsopdatering |
|
Windows Server 2012 R2 (Server Core-installation) |
Månedlig opsnulning |
|
Kun sikkerhed |
||
Windows Server 2012 R2 |
Månedlig opsnulning |
|
Kun sikkerhed |
||
Windows Server 2012 (Kerneinstallation af Server) |
Månedlig opsnulning |
|
Kun sikkerhed |
||
Windows Server 2012 |
Månedlig opsnulning |
|
Kun sikkerhed |
||
Windows Server 2008 R2 Service Pack 1 |
Månedlig opsnulning |
|
Kun sikkerhed |
||
Windows Server 2008 Service Pack 2 |
Månedlig opsnulning |
|
Kun sikkerhed |
Trin 2: Aktivér aktiveringstilstand
Når alle enheder, der er vært for Active Directory-domænecontrollerrollen, er blevet opdateret, skal du vente mindst en hel dag for at tillade, at alle udestående tjenester for User to Self (S4U2self) Kerberos-tjenestebilletter udløber. Aktivér derefter fuld beskyttelse ved at udrulle aktiveringstilstand. Det gør du ved at aktivere registreringsdatabasenøglen i aktiveringstilstand.
Advarsel! Der kan forekomme alvorlige problemer, hvis du ved hjælp af Registreringseditor eller anden metode redigerer registreringsdatabasen forkert. Disse problemer kan kræve, at du geninstallerer operativsystemet. Microsoft kan ikke garantere, at disse problemer kan løses. Ændringer af registreringsdatabasen er på eget ansvar.
Bemærk Denne registreringsdatabaseværdi oprettes ikke ved at installere denne opdatering. Du skal tilføje denne registreringsdatabaseværdi manuelt.
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Værdi |
NonForwardableDelegation |
Datatype |
REG_DWORD |
Data |
1:Deaktiverer håndhævelsestilstand. 0:Aktiverer håndhævelsestilstand. Dette er den beskyttede tilstand. |
Standard |
1 |
Er en genstart påkrævet? |
Nej |
Noter om registreringsdatabaseværdien
"NonForwardableDelegation":
-
Hvis registreringsdatabaseværdien er angivet, tilsidesætter den indstillingen for håndhævelsestilstand, der er inkluderet i opdateringen for 9. marts 2021 Windows opdateringer.
-
Hvis registreringsdatabaseværdien er angivet til 1 (Deaktiver), tillades videresendelse på Kerberos-servicebilletter, der IKKE er markeret som videresendelse.
-
Hvis registreringsdatabaseværdien er angivet til 0 (Aktivér), tillades videresendelse IKKE på Kerberos-servicebilletter, der IKKE er markeret som videresendelse.
-
-
Hvis dit domæne omfatter Windows Server 2008 R2 eller tidligere Active Directory-domænecontrollere, behøver du ikke at angive håndhævelsestilstand, da disse domænecontrollere ikke understøtter RBCD.
-
Hvis du ikke konsekvent opdaterer alle Active Directory-domænecontrollere, når aktivering af aktivering af aktiveringstilstand, mislykkes tjenestens delegering periodisk.
-
Før du indstiller håndhævelsestilstand:
-
Alle Active Directory-domænecontrollere skal opdateres med opdateringen fra d. 8. Windows. december 2020 eller en Windows opdateringer, og
-
Alle udestående S4USelf Kerberos-servicebilletter skal være udløbet ved at vente en dag efter at have fuldført Windows-opdateringsinstallationen på alle Active Directory-domænecontrollere.
-
Yderligere overvejelser
Når denne beskyttelse er aktiveret, samler den logikken for Resource-Based Begrænset delegering (RBCD) med den oprindelige betingelsesdelegering. Dette kan medføre problemer i de to følgende scenarier:
-
En enkelt tjeneste bruger samtidig den oprindelige Kerberos Constrained Delegation (KCD) uden protokolovergang til ét mål, mens den bruger RBCD sammen med protokolovergang til en anden. Efter denne ændring gælder afvisning af protokolovergang for begge delegeringstyper.
-
RBCD bruges i et domæne, der bruger domænecontrollere, der ikke er opdateret med CVE-2020-16996 eller kører ældre versioner af Windows Server (ældre end Window Server 2012), der ikke har en tilgængelig opdatering til CVE-2020-16996. De nøglefordelingscentre (KDCs), der ikke er opdateret, vil ikke markere S4USelf Kerberos-tjenestebilletter som ok for delegering og protokolovergang.