Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Udgivelsesdatoerne, der tidligere er angivet i denne artikel, er blevet ændret. Bemærk de nye udgivelsesdatoer i afsnittene "Take Action" og "Timing of these Windows updates".

Oversigt

Der findes en sikkerhedsfunktion, der tilsidesætter sikkerhedsrisikoen på den måde, som Nøgledistributionscenter (KDC) afgør, om en Kerberos-servicebillet kan bruges til delegering via Kerberos Begrænset delegering (KCD). Hvis du vil udnytte sikkerhedsrisikoen, kan en kompromitteret tjeneste, der er konfigureret til at bruge KCD, pille ved en Kerberos-servicebillet, der ikke er gyldig for delegering, for at tvinge KDC til at acceptere den. Disse Windows-opdateringer afhjælper denne sikkerhedsrisiko ved at ændre, hvordan KDC validerer Kerberos-servicebilletter, der bruges sammen med KCD.

Du kan få mere at vide om sikkerhedsrisikoen under CVE-2020-17049. 

Gør noget

Hvis du vil beskytte dit miljø og forhindre strømsvigt, skal du følge alle disse trin:

  1. Opdater alle enheder, der er vært for Active Directory-domænecontrollerrollen, ved at installere mindst én af Windows-opdateringerne mellem 8. december 2020 og 9. marts 2021. Vær opmærksom på, at installation af Windows-opdateringen ikke fuldstændigt afhjælper sikkerhedsrisikoen. Du skal også udføre trin 2 og 3.

  2. Opdater alle enheder, der er vært for Active Directory-domænecontrollerrollen, ved at installere Windows-opdateringen for 13. april 2021.

  3. Aktivér Håndhævelsestilstand på alle Active Directory-domænecontrollere.

  4. Fra og med opdateringen af håndhævelsesfasen d. 13. juli 2021 aktiveres håndhævelsestilstand på alle Windows-domænecontrollere.

Timing af disse Windows-opdateringer

Disse Windows-opdateringer frigives i tre faser:

  • Fasen installationsstart for Windows-opdateringer, der blev udgivet d. 8. december 2020 eller senere.

  • En anden installationsfase, der fjerner PerformTicketSignature-indstillingen0 og kræver enten indstilling 1 eller 2,til eller efter 13. april 2021.

  • Håndhævelsesfasen for Windows-opdateringer, der blev udgivet d. 13. juli 2021 eller senere.

8. december 2020: Indledende installationsfase

Fasen installationsstart med Windows-opdateringen, der blev udgivet d. 8. december 2020, fortsætter med en senere Windows-opdatering til håndhævelsesfasen. Disse og senere Windows-opdateringer foretager ændringer i Kerberos. Denne opdatering for 8. december 2020 indeholder rettelser til alle kendte problemer, der oprindeligt blev introduceret i udgivelsen af CVE-2020-17049 for 10. november 2020. Denne opdatering understøtter også Windows Server 2008 SP2 og Windows Server 2008 R2.

Denne version:

  • Adresserer CVE-2020-17049 (i installationstilstand som standard).

  • Tilføjer understøttelse af registreringsdatabaseværdien PerformTicketSignature for at aktivere beskyttelse på Active Directory-domænecontrollerservere. Denne værdi findes ikke som standard.

Afhjælpning består af installation af Windows-opdateringer på alle enheder, der er vært for Active Directory-domænecontrollerrollen og skrivebeskyttede domænecontrollere (RODCs) og derefter aktivering af aktiveringstilstand.

13. april 2021:Anden implementeringsfase

Den anden installationsfase starter med Windows-opdateringen, der blev udgivet d. 13. april 2021. Denne fase fjerner PerformTicketSignature-indstillingen0. Indstilling af PerformTicketSignature til 0, når denne opdatering er installeret, har samme effekt som indstilling af PerformTicketSignature til 1. Distributionskæderne vil være i installationstilstand.

Bemærk!

  • Denne fase er ikke nødvendig, hvis PerformTicketSignature aldrig blev angivet til 0 i dit miljø. Denne fase hjælper med at sikre, at kunder, der indstiller PerformTicketSignature til 0, flyttes til indstilling 1før håndhævelsesfasen.

  • Med udrulningen af opdateringerne for 13. april 2021 vil indstilling af PerformTicketSignature til 1 gøre det muligt at forny servicebilletter. Dette er en ændring i funktionsmåden fra før april 2021 Windows-opdateringer, når du indstiller PerformTicketSignature til 1, hvilket forårsagede, at servicebilletter ikke kunne fornyes.

  • Denne opdatering forudsætter, at alle domænecontrollere opdateres med opdateringerne for 8. december 2020 eller nyere.

  • Når du har installeret denne opdatering og manuelt eller programmeringsvis indstillet PerformTicketSignature til 1 eller nyere, fungerer ikke-understøttede Windows Server-domænecontrollere ikke længere med understøttede domænecontrollere. Dette omfatter Windows Server 2008 og Windows Server 2008 R2 uden udvidede sikkerhedsopdateringer (ESU) og Windows Server 2003.

13. juli 2021:Håndhævelsesfase

Udgivelsesovergange for d. 13. juli 2021 i håndhævelsesfasen. Håndhævelsesfasen gennemtvinger ændringerne for at adressere CVE-2020-17049. Active Directory-domænecontrollere kan nu håndhæves. Hvis du går til håndhævelsestilstand, skal alle Active Directory-domænecontrollere have opdateringen fra 8. december 2020 eller en nyere Windows-opdatering installeret. På nuværende tidspunkt ignoreres indstillingerne for registreringsdatabasenøgler i PerformTicketSignature, og håndhævelsestilstand kan ikke tilsidesættes. 

Installationsvejledning

Før du installerer denne opdatering

Du skal have følgende nødvendige opdateringer installeret, før du anvender denne opdatering. Hvis du bruger Windows Update, tilbydes disse nødvendige opdateringer automatisk efter behov.

  • Du skal have SHA-2-opdateringen(KB4474419),der er dateret d. 23. september 2019 eller en nyere SHA-2-opdatering, installeret, og derefter genstarte enheden, før du anvender denne opdatering. Du kan finde flere oplysninger om SHA-2-opdateringer i 2019 SHA-2Krav til understøttelse af signering af kode for Windows og WSUS.

  • For Windows Server 2008 R2 SP1 skal du have installeret SSU (Servicing Stack Update)(KB4490628),der er dateret d. 12. marts 2019. Når opdateringen KB4490628 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om den seneste SSU-opdatering under ADV990001 | Seneste opdateringer til serviceringsstakken.

  • For Windows Server 2008 SP2 skal du have installeret SSU (Servicing Stack Update)(KB4493730),der er dateret d. 9. april 2019. Når opdateringen KB4493730 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om de seneste SSU-opdateringer under ADV990001 | Seneste opdateringer til serviceringsstakken.

  • Kunder skal købe den udvidede sikkerhedsopdatering (ESU) til lokale versioner af Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 efter udvidet support ophørte d. 14. januar 2020. Kunder, der har købt ESU, skal følge procedurerne i KB4522133 for at fortsætte med at modtage sikkerhedsopdateringer. Du kan finde flere oplysninger om ESU, og hvilke versioner der understøttes, under KB4497181.

Vigtigt! Du skal genstarte enheden, når du har installeret disse nødvendige opdateringer.

Installér alle opdateringer

Du kan løse sikkerhedsrisikoen ved at installere alle Windows-opdateringer og aktivere aktiveringstilstand ved at følge disse trin:

  1. Installér mindst én af opdateringerne fra 8. december 2020 og 9. marts 2021 til alle Active Directory-domænecontrollere i skoven.

  2. Installér opdateringen for 12. april 2021 mindst én eller flere uger efter trin 1.

  3. Når alle Active Directory-domænecontrollere er blevet opdateret, skal du vente i mindst en hel uge for at tillade, at alle udestående tjenester for bruger selv (S4U2self) Kerberos-servicebilletter udløber, og derefter kan fuld beskyttelse aktiveres ved at udrulle Active Directory-domænecontrollerens håndhævelsestilstand.Noter

    • Hvis du har ændret udløbstidspunkterne for Kerberos-servicebilletten i standardindstillingerne (standard er 7 dage), skal du som minimum vente det antal dage, der er konfigureret i dit miljø.

    • Disse trin forudsætter, at PerformTicketSignature aldrig er blevet angivet til 0 i dit miljø. Hvis PerformTicketSignature blev angivet til 0,skal du gå til indstilling 1, før du går til indstilling 2 (aktiveringstilstand), og vente mindst en uge med at tillade, at alle udestående servicebilletter for Bruger til sig selv (S4U2self) Kerberos-servicebilletter udløber. Du bør ikke gå direkte fra indstilling 0 til indstilling 2 (Håndhævelsestilstand).

Trin 1: Installer Windows-opdateringer

Installer den relevante 8. december 2020 Windows Update eller en nyere Windows-opdatering på alle enheder, der er vært for Active Directory-domænecontrollerrollen i skoven, herunder skrivebeskyttede domænecontrollere.

Windows Server-produkt

KB #

Opdateringstype

Windows Server, version 20H2 (Server Core Installation)

4592438

Sikkerhedsopdatering

Windows Server, version 2004 (Server Core-installation)

4592438

Sikkerhedsopdatering

Windows Server, version 1909 (Server Core-installation)

4592449

Sikkerhedsopdatering

Windows Server, version 1903 (Server Core-installation)

4592449

Sikkerhedsopdatering

Windows Server 2019 (Server Core-installation)

4592440

Sikkerhedsopdatering

Windows Server 2019

4592440

Sikkerhedsopdatering

Windows Server 2016 (Server Core-installation)

4593226

Sikkerhedsopdatering

Windows Server 2016

4593226

Sikkerhedsopdatering

Windows Server 2012 R2 (Server Core-installation)

4592484

Månedlig opslulning

4592495

Kun sikkerhed

Windows Server 2012 R2

4592484

Månedlig opslulning

4592495

Kun sikkerhed

Windows Server 2012 (Server Core-installation)

4592468

Månedlig opslulning

4592497

Kun sikkerhed

Windows Server 2012

4592468

Månedlig opslulning

4592497

Kun sikkerhed

Windows Server 2008 R2 Service Pack 1

4592471

Månedlig opslulning

4592503

Kun sikkerhed

Windows Server 2008 Service Pack 2

4592498

Månedlig opslulning

4592504

Kun sikkerhed

Trin 2: Aktivér aktiveringstilstand

Når alle enheder, der er vært for Active Directory-domænecontrollerrollen, er blevet opdateret, skal du vente mindst en hel uge for at tillade, at alle udestående S4U2self Kerberos-tjenestebilletter udløber. Aktivér derefter fuld beskyttelse ved at udrulle aktiveringstilstand. Det gør du ved at aktivere registreringsdatabasenøglen i aktiveringstilstand.

Advarsel! Der kan forekomme alvorlige problemer, hvis du ved hjælp af Registreringseditor eller anden metode redigerer registreringsdatabasen forkert. Disse problemer kan kræve, at du geninstallerer operativsystemet. Microsoft kan ikke garantere, at disse problemer kan løses. Ændringer af registreringsdatabasen er på eget ansvar.

Bemærk! Denne opdatering introducerer understøttelse af følgende registreringsdatabaseværdi for at aktivere aktiveringstilstand. Denne registreringsdatabaseværdi oprettes ikke ved at installere denne opdatering. Du skal tilføje denne registreringsdatabaseværdi manuelt.

Undernøgle i registreringsdatabasen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Værdi

PerformTicketSignature

Datatype

REG_DWORD

Data

1:Aktiverer installationstilstand. Rettelsen er aktiveret på domænecontrolleren, men Active Directory-domænecontrolleren kræver ikke, at Kerberos-servicebilletter overholder rettelsen. Denne tilstand tilføjer understøttelse af ticketsignaturer på de opdaterede domænecontrollere i CVE-2020-17049, men domænecontrollere kræver ikke, at billetterne er signeret. Dette giver mulighed for en blanding af startfase (DCs opdateret til den indledende installationsopdatering for december) og opdaterede domænecontrollere til at eksistere. Når alle domænecontrollere er opdateret og ved indstilling 1,signeres alle nye billetter. I denne tilstand markeres nye billetter som fornyelige.

2:Aktiverer håndhævelsestilstand Dette aktiverer rettelsen i påkrævet tilstand, hvor alle domæner skal opdateres, og alle Active Directory-domænecontrollere kræver Kerberos-servicebilletter med signaturer. Med denne indstilling skal alle billetter være signeret for at blive betragtet som gyldige. I denne tilstand markeres billetter igen som fornyelige.

0:Anbefales ikke. Deaktiver Kerberos-servicebilletsignaturer, og dine domæner er ikke beskyttet.

Vigtigt! Indstilling 0 er ikke kompatibel med håndhævelsesindstilling 2. Der kan forekomme periodisk mislykkede godkendelsesfejl, hvis håndhævelsestilstand anvendes senere, mens domænet er indstillet til 0. Vi anbefaler kunder at flytte til indstilling 1 før håndhævelsesfasen (mindst en uge før håndhævelsen anvendes).

Standard

1 (når registreringsdatabasenøglen ikke er angivet)

Er en genstart påkrævet?

Nej

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.