WICHTIG Das Datum für den Erzwingungsmodus, wie zuvor in diesem Artikel angegeben, hat sich auf den 9. März 2021 geändert. |
Zusammenfassung
Wenn Sie Geschützte Benutzer und Ressourcenbasierte eingeschränkte Delegierung (Resource-Based Constrained Delegation, RBCD) verwenden, gibt es möglicherweise ein Sicherheitsrisiko auf Active Directory-Domänencontrollern. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter CVE-2020-16996.
Handeln Sie Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, müssen Sie folgende Schritte ausführen:
|
Zeitplan für die Updates
Diese Windows-Updates werden in zwei Phasen veröffentlicht:
-
Die erste Bereitstellungsphase für Windows-Updates, die am oder nach dem 8. Dezember 2020 veröffentlicht wurden.
-
Die Erzwingungsphase umfasst Windows-Updates, die am oder nach dem 9. März 2021 veröffentlicht werden.
8. Dezember 2020: Erst Bereitstellungsphase
Die erste Bereitstellungsphase beginnt mit dem am 8. Dezember 2020 veröffentlichten Windows-Update und wird mit einem späteren Windows-Update für die Erzwingungsphase fortgesetzt. Durch diese und spätere Windows-Updates werden Änderungen an Kerberos vorgenommen.
Diese Version:
-
Adressen CVE-2020-16996 (standardmäßig deaktiviert).
-
Fügt die Unterstützung für den Registrierungswert NonForwardableDelegation hinzu, um den Schutz auf Active Directory-Domänencontroller-Servern zu aktivieren. Dieser Eintrag ist standardmäßig nicht vorhanden.
Die Risikominderung besteht in der Installation der Windows-Updates auf allen Geräten, auf denen die Active Directory-Domänencontrollerrolle und schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODC) gehostet werden, gefolgt vom Aktivieren des Erzwingungsmodus.
9. März 2021: Erzwingungsphase
Mit der Version vom 9. März 2021 beginnt die Erzwingungsphase. Die Erzwingungsphase erzwingt die Änderungen an CVE-2020-16996. Active Directory-Domänencontroller befinden sich jetzt im Erzwingungsmodus, es sei denn, der Registrierungsschlüssel für den Erzwingungsmodus ist auf 1 (Deaktiviert) festgelegt. Wenn der Registrierungsschlüssel für den Erzwingungsmodus festgelegt ist, wird diese Einstellung berücksichtigt. Bevor Sie in den Erzwingungsmodus wechseln können, müssen alle Active Directory-Domänencontroller das Update vom 8. Dezember 2020 oder ein neueres Update installiert haben.
Installationsanleitung
Vor der Installation dieses Updates
Sie müssen die folgenden erforderlichen Updates installiert haben, bevor Sie dieses Update anwenden. Wenn Sie Windows Update verwenden, werden diese erforderlichen Updates bei Bedarf automatisch vorgeschlagen.
-
Sie müssen das SHA-2-Update (KB4474419) vom 23. September 2019 oder ein späteres SHA-2-Update installiert haben und dann Ihr Gerät neu starten, bevor Sie dieses Update anwenden. Weitere Informationen zu SHA-2-Updates finden Sie unter Unterstützung der SHA-2-Codesignierung für Windows und WSUS (2019).
-
Für Windows Server 2008 R2 SP1 müssen Sie das SSU (Servicing Stack Update) KB4490628 vom 12. März 2019 installiert haben. Nachdem das Update KB4490628 installiert wurde, empfehlen wir, das neueste SSU zu installieren. Weitere Informationen zum neuesten SSU finden Sie unter ADV990001 | Neueste SSU (Servicing Stack Updates).
-
Für Windows Server 2008 SP2 müssen Sie das SSU (Servicing Stack Update) KB4493730vom 9. April 2019 installiert haben. Nachdem das Update KB4493730 installiert wurde, empfehlen wir, das neueste SSU zu installieren. Weitere Informationen zu den neuesten SSUs finden Sie unter ADV990001 | Neueste SSU (Servicing Stack Updates).
-
Kunden müssen nach Ablauf des erweiterten Supports am 14. Januar 2020 für lokale Versionen von Windows Server 2008 SP2 oder Windows Server 2008 R2 SP1 das Erweiterte Sicherheitsupdate (Extended Security Update, ESU) erwerben. Kunden, die das ESU erworben haben, müssen die Schritte in KB4522133 befolgen, um weiterhin Sicherheitsupdates zu erhalten. Weitere Informationen zu ESU und zu den unterstützten Versionen finden Sie in KB4497181.
Wichtig Sie müssen Ihr Gerät neu starten, nachdem Sie diese erforderlichen Updates installiert haben.
Installieren der Anwendung
Um die Sicherheitslücke zu beheben, installieren Sie die Windows-Updates, und aktivieren Sie den Erzwingungsmodus, indem Sie die folgenden Schritte ausführen.
Warnung Es können zwischenzeitliche Authentifizierungsprobleme auftreten, wenn diese Windows-Updates und der Registrierungswert in einem oder beiden der folgenden Szenarien inkonsistent angewendet werden:
Wichtig Sowohl Windows-Updates als auch der Registrierungswert müssen konsistent auf ALLE Active Directory-Domänencontroller in Ihrer Umgebung angewendet werden. |
Schritt 1: Installieren des Windows-Updates
Installieren Sie das Windows-Update vom 8. Dezember 2020 oder ein späteres Windows-Update auf allen Geräten, die die Active Directory-Domänencontrollerrolle in der Gesamtstruktur hosten, einschließlich schreibgeschützter Domänencontroller.
Windows Serverprodukt |
KB-Nr. |
Updatetyp |
Windows Server, Version 20H2 (Server-Core-Installation) |
Sicherheitsupdate |
|
Windows Server, Version 2004 (Server-Core-Installation) |
Sicherheitsupdate |
|
Windows Server, Version 1909 (Server Core-Installation) |
Sicherheitsupdate |
|
Windows Server, Version 1903 (Server-Core-Installation) |
Sicherheitsupdate |
|
Windows Server 2019 (Server Core-Installation) |
Sicherheitsupdate |
|
Windows Server 2019 |
Sicherheitsupdate |
|
Windows Server 2016 (Server-Core-Installation) |
Sicherheitsupdate |
|
Windows Server 2016 |
Sicherheitsupdate |
|
Windows Server 2012 R2 (Server-Core-Installation) |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2012 R2 |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2012 (Server-Core-Installation) |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2012 |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2008 R2 Service Pack 1 |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2008 Service Pack 2 |
Monatlicher Rollup |
|
Nur Sicherheit |
Schritt 2: Aktivieren des Erzwingungsmodus
Nachdem alle Geräte, die die Active Directory-Domänencontroller-Rolle hosten, aktualisiert wurden, warten Sie mindestens einen ganzen Tag, bis alle ausstehenden Kerberos-Diensttickets (Service to Self, S4U2self) abgelaufen sind. Aktivieren Sie danach den vollständigen Schutz, indem Sie den Erzwingungsmodus bereitstellen. Aktivieren Sie dazu den Registrierungsschlüssel für den Erzwingungsmodus.
Warnung Durch die unsachgemäße Änderung der Registrierung mit dem Registrierungs-Editor oder einer anderen Methode können schwerwiegende Probleme verursacht werden. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.
Hinweis Dieser Registrierungswert wird nicht durch die Installation dieses Updates erstellt. Sie müssen diesen Registrierungswert manuell hinzufügen.
Registrierungsunterschlüssel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Wert |
NonForwardableDelegation |
Datentyp |
REG_DWORD |
Daten |
1: Deaktiviert den Erzwingungsmodus.. 0: Aktiviert den Erzwingungsmodus. Dies ist der geschützte Zustand. |
Standard |
1 |
Ist ein Neustart erforderlich? |
Nein |
Hinweise zum
Registrierungswert „NonForwardableDelegation“:
-
Wenn der Registrierungswert festgelegt ist, hat er Vorrang vor der Erzwingungsmoduseinstellung, die in den Windows-Updates vom 9. März 2021 enthalten ist.
-
Wenn der Registrierungswert auf 1 (Deaktivieren) festgelegt ist, ist die Weiterleitung für Kerberos-Diensttickets zulässig, die NICHT als weiterleitbar markiert sind.
-
Wenn der Registrierungswert auf 0 (Aktivieren) festgelegt ist, ist die Weiterleitung NICHT für Kerberos-Diensttickets zulässig, die als NICHT weiterleitbar markiert sind.
-
-
Wenn Ihre Domäne Windows Server 2008 R2 oder frühere Active Directory-Domänencontroller enthält, müssen Sie den Erzwingungsmodus nicht festlegen, da diese Domänencontroller keine RBCD unterstützen.
-
Wenn beim Aktivieren des Erzwingungsmodus nicht alle Active Directory-Domänencontroller konsistent aktualisiert werden, führt dies zu zwischenzeitlichen Dienstdelegierungsfehlern.
-
Vor dem Festlegen des Erzwingungsmodus:
-
Alle Active Directory-Domänencontroller müssen mit dem Windows-Update vom 8. Dezember 2020 oder einem späteren Windows-Update aktualisiert werden, und
-
Alle ausstehenden S4USelf Kerberos-Diensttickets müssen abgelaufen sein, indem Sie nach Abschluss der Bereitstellung des Windows-Updates auf allen Active Directory-Domänencontrollern einen Tag gewartet haben.
-
Zusätzliche Überlegungen
Wenn dieser Schutz aktiviert ist, wird die Logik für die ressourcenbasierte eingeschränkte Delegierung (Resource-Based Constrained Delegierung, RBCD) mit der ursprünglichen eingeschränkten Delegierung vereinheitlicht. Dies kann in den beiden folgenden Szenarien zu Problemen führen:
-
Ein einzelner Dienst verwendet gleichzeitig die ursprüngliche eingeschränkte Kerberos-Delegierung (KCD) ohne Protokollübergang zu einem bestimmten Ziel, während er RBCD mit Protokollübergang zu einem anderen Ziel verwendet. Nach dieser Änderung wird die Verweigerung des Protokollübergangs für beide Arten der Delegation gelten.
-
RBCD wird in einer Domäne verwendet, die Domänencontroller verwendet, die nicht mit CVE-2020-16996 aktualisiert werden oder ältere Versionen von Windows Server (älter als Window Server 2012) ausführen, für die kein Update für CVE-2020-16996 verfügbar ist. Die nicht aktualisierten Schlüsselverteilungszentren (Key Distribution Centers, KDCs) kennzeichnen S4USelf Kerberos-Diensttickets nicht als für die Delegierung in Ordnung, und der Protokollübergang wird verweigert.