Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

VIGTIGT Datoen for håndhævelsestilstand som tidligere nævnt i denne artikel er ændret til 9. marts 2021. 

Oversigt

Hvis du bruger beskyttede brugere og ressourcebaseret begrænsningsdelegering (RBCD), kan der være en sikkerhedsrisiko på Active Directory-domænecontrollere. Du kan få mere at vide om sikkerhedsrisikoen under CVE-2020-16996.

Gør noget

For at beskytte dit miljø og forhindre strømsvigt skal du gøre følgende:

  1. Opdater alle enheder, der er vært for Active Directory-domænecontrollerrollen, ved at installere opdateringen for 8. december 2020 Windows en Windows opdatering. Vær opmærksom på, at installation af Windows ikke fuldt ud afhjælper sikkerhedsrisikoen fuldt ud. Du skal udføre trin 2.

  2. Aktivér aktiveringstilstand på alle Active Directory-domænecontrollere. Fra og med opdateringen for 9. marts 2021 kan håndhævelsestilstand aktiveres på alle Windows domænecontrollere.

Tidsindstilling for opdateringer

Disse Windows opdateringer frigives i to faser:

  • Fasen installationsstart for de Windows der blev udgivet d. 8. december 2020 eller senere.

  • Håndhævelsesfasen for de Windows, der udgives d. eller efter d. 9. marts 2021.

8. december 2020: Indledende installationsfase

Fasen installationsstart med den Windows opdatering, der blev udgivet d. 8. december 2020 og fortsætter med en Windows opdatering til håndhævelsesfasen. Disse og senere Windows foretager ændringer i Kerberos.

Denne version:

  • Adresser CVE-2020-16996 (deaktiveret som standard).

  • Tilføjer understøttelse af registreringsdatabaseværdien NonForwardableDelegation for at aktivere beskyttelse på Active Directory-domænecontrollerservere. Som standard findes værdien ikke.

Afhjælpning består af installation af opdateringer til Windows på alle enheder, der er vært for active directory-domænecontrollerrollen og skrivebeskyttede domænecontrollere (RODC'er), og aktiverer derefter aktiveringstilstand.

9. marts 2021: Håndhævelsesfase

Udgivelsesversionen for 9. marts 2021 skifter til håndhævelsesfasen. Håndhævelsesfasen gennemtvinger ændringerne i adresse-CVE-2020-16996. Active Directory-domænecontrollere er nu i håndhævelsestilstand, medmindre registreringsdatabasenøglen i håndhævelsestilstand er indstillet til 1 (deaktiveret). Hvis registreringsdatabasenøglen i registreringstilstand er angivet, bliver indstillingen imødekommet. Hvis du vil aktivere tilstanden Håndhævelse, skal alle Active Directory-domænecontrollere have opdateringen fra d. 8. december 2020 eller en nyere opdatering installeret.

Installationsvejledning

Før du installerer denne opdatering

Du skal have følgende nødvendige opdateringer installeret, før du anvender denne opdatering. Hvis du bruger Windows opdatering, tilbydes disse nødvendige opdateringer automatisk efter behov.

  • Du skal have SHA-2-opdateringen(KB4474419),der er dateret d. 23. september 2019 eller en nyere SHA-2-opdatering, installeret, og derefter genstarte enheden, før du anvender denne opdatering. Du kan finde flere oplysninger om SHA-2-opdateringer i 2019 SHA-2 kravtil kodeunderstøttelse for Windows og WSUS.

  • For Windows Server 2008 R2 SP1 skal du have installeret SSU (Servicing Stack Update) (KB4490628),der er dateret d. 12. marts 2019. Når opdateringen KB4490628 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om den seneste SSU-opdatering under ADV990001 | Seneste opdateringer til servicing-stakken.

  • Til Windows Server 2008 SP2 skal du have installeret SSU (Servicing Stack Update) (KB4493730),der er dateret d. 9. april 2019. Når opdateringen KB4493730 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om de seneste SSU-opdateringer under ADV990001 | Seneste opdateringer til servicing-stakken.

  • Kunder skal købe den udvidede sikkerhedsopdatering (ESU) til lokale versioner af Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1, efter udvidet support ophørte d. 14. januar 2020. Kunder, der har købt ESU, skal følge procedurerne i KB4522133 for at fortsætte med at modtage sikkerhedsopdateringer. Du kan finde flere oplysninger om ESU, og hvilke versioner der understøttes, under KB4497181.

VigtigtDu skal genstarte enheden, når du har installeret disse nødvendige opdateringer.

Installér opdateringen

For at løse sikkerhedsrisikoen skal du installere opdateringerne Windows aktivere aktiveringstilstand ved at følge disse trin.

Advarsel! Der kan forekomme periodisk godkendelsesproblemer, hvis disse Windows opdateringer, og værdien i registreringsdatabasen anvendes inkonsekvent i et eller begge af følgende scenarier:

  • Opdateringen for 8. december 2020 Windows er installeret inkonsekvent på Active Directory-domænecontrollere, og værdien NonForwardableDelegation er angivet til 0, hvilket ikke er i overensstemmende retning på disse domænecontrollere.

  • Opdateringen for d. 9. marts 2021 Windows er installeret inkonsekvent på Active Directory-domænecontrollere, som er implicit aktiveret ved først at installere opdateringen til 8. december 2020 Windows på alle Windows Server 2008 R2 eller tidligere Active Directory-domænecontrollere, der er placeret i Caller-, Intermediate- eller Target-domæner.

Vigtigt Både Windows opdateringer og registreringsdatabaseværdien skal anvendes konsekvent på ALLE Active Directory-domænecontrollere i dit miljø.


Trin 1: Installer Windows opdatering

Installér opdateringen fra Windows fra d. 8. december 2020 eller en nyere Windows på alle enheder, der er vært for Active Directory-domænecontrollerrollen i skoven, herunder skrivebeskyttede domænecontrollere.

Windows Server-produkt

KB #

Opdateringstype

Windows Server, version 20H2 (Server Core Installation)

4592438

Sikkerhedsopdatering

Windows Server, version 2004 (Server Core-installation)

4592438

Sikkerhedsopdatering

Windows Server, version 1909 (Server Core-installation)

4592449

Sikkerhedsopdatering

Windows Server, version 1903 (Server Core-installation)

4592449

Sikkerhedsopdatering

Windows Server 2019 (Server Core-installation)

4592440

Sikkerhedsopdatering

Windows Server 2019

4592440

Sikkerhedsopdatering

Windows Server 2016 (Server Core-installation)

4593226

Sikkerhedsopdatering

Windows Server 2016

4593226

Sikkerhedsopdatering

Windows Server 2012 R2 (Server Core-installation)

4592484

Månedlig opsnulning

4592495

Kun sikkerhed

Windows Server 2012 R2

4592484

Månedlig opsnulning

4592495

Kun sikkerhed

Windows Server 2012 (Kerneinstallation af Server)

4592468

Månedlig opsnulning

4592497

Kun sikkerhed

Windows Server 2012

4592468

Månedlig opsnulning

4592497

Kun sikkerhed

Windows Server 2008 R2 Service Pack 1

4592471

Månedlig opsnulning

4592503

Kun sikkerhed

Windows Server 2008 Service Pack 2

4592498

Månedlig opsnulning

4592504

Kun sikkerhed

Trin 2: Aktivér aktiveringstilstand

Når alle enheder, der er vært for Active Directory-domænecontrollerrollen, er blevet opdateret, skal du vente mindst en hel dag for at tillade, at alle udestående tjenester for User to Self (S4U2self) Kerberos-tjenestebilletter udløber. Aktivér derefter fuld beskyttelse ved at udrulle aktiveringstilstand. Det gør du ved at aktivere registreringsdatabasenøglen i aktiveringstilstand.

Advarsel! Der kan forekomme alvorlige problemer, hvis du ved hjælp af Registreringseditor eller anden metode redigerer registreringsdatabasen forkert. Disse problemer kan kræve, at du geninstallerer operativsystemet. Microsoft kan ikke garantere, at disse problemer kan løses. Ændringer af registreringsdatabasen er på eget ansvar.

Bemærk Denne registreringsdatabaseværdi oprettes ikke ved at installere denne opdatering. Du skal tilføje denne registreringsdatabaseværdi manuelt.

Undernøgle i registreringsdatabasen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Værdi

NonForwardableDelegation

Datatype

REG_DWORD

Data

1:Deaktiverer håndhævelsestilstand.  

0:Aktiverer håndhævelsestilstand. Dette er den beskyttede tilstand.

Standard

1

Er en genstart påkrævet?

Nej


Noter om registreringsdatabaseværdien "NonForwardableDelegation":

  • Hvis registreringsdatabaseværdien er angivet, tilsidesætter den indstillingen for håndhævelsestilstand, der er inkluderet i opdateringen for 9. marts 2021 Windows opdateringer.

    • Hvis registreringsdatabaseværdien er angivet til 1 (Deaktiver), tillades videresendelse på Kerberos-servicebilletter, der IKKE er markeret som videresendelse.

    • Hvis registreringsdatabaseværdien er angivet til 0 (Aktivér), tillades videresendelse IKKE på Kerberos-servicebilletter, der IKKE er markeret som videresendelse.

  • Hvis dit domæne omfatter Windows Server 2008 R2 eller tidligere Active Directory-domænecontrollere, behøver du ikke at angive håndhævelsestilstand, da disse domænecontrollere ikke understøtter RBCD.

  • Hvis du ikke konsekvent opdaterer alle Active Directory-domænecontrollere, når aktivering af aktivering af aktiveringstilstand, mislykkes tjenestens delegering periodisk.

  • Før du indstiller håndhævelsestilstand:

    • Alle Active Directory-domænecontrollere skal opdateres med opdateringen fra d. 8. Windows. december 2020 eller en Windows opdateringer, og

    • Alle udestående S4USelf Kerberos-servicebilletter skal være udløbet ved at vente en dag efter at have fuldført Windows-opdateringsinstallationen på alle Active Directory-domænecontrollere.

Yderligere overvejelser

Når denne beskyttelse er aktiveret, samler den logikken for Resource-Based Begrænset delegering (RBCD) med den oprindelige betingelsesdelegering. Dette kan medføre problemer i de to følgende scenarier:

  • En enkelt tjeneste bruger samtidig den oprindelige Kerberos Constrained Delegation (KCD) uden protokolovergang til ét mål, mens den bruger RBCD sammen med protokolovergang til en anden. Efter denne ændring gælder afvisning af protokolovergang for begge delegeringstyper.

  • RBCD bruges i et domæne, der bruger domænecontrollere, der ikke er opdateret med CVE-2020-16996 eller kører ældre versioner af Windows Server (ældre end Window Server 2012), der ikke har en tilgængelig opdatering til CVE-2020-16996. De nøglefordelingscentre (KDCs), der ikke er opdateret, vil ikke markere S4USelf Kerberos-tjenestebilletter som ok for delegering og protokolovergang.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×