KB4598347: Verwaltung der Bereitstellung von Änderungen an Kerberos S4U für CVE-2020-17049

Wichtig: Die zuvor in diesem Artikel angegebenen Veröffentlichungstermine haben sich geändert. Bitte beachten Sie die neuen Veröffentlichungstermine in den Abschnitten „Handeln Sie“ und „Zeitplan dieser Windows-Updates“.

Zusammenfassung

Eine Sicherheitsanfälligkeit durch mögliche Umgehung von Sicherheitsfunktionen besteht in der Art und Weise, wie das Schlüsselverteilungscenter (Key Distribution Center, KDC) bestimmt, ob ein Dienstticket für die Delegierung über die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) verwendet werden kann. Um die Sicherheitsanfälligkeit auszunutzen, könnte ein kompromittierter Dienst, der für die Verwendung von KCD konfiguriert ist, ein Kerberos-Dienstticket, das nicht für die Delegation gültig ist, manipulieren, um das KDC zu zwingen, es zu akzeptieren. Diese Windows-Updates beheben diese Sicherheitsanfälligkeit, indem sie die Art und Weise ändern, wie das KDC die Kerberos-Diensttickets validiert, die mit der KCD verwendet werden.

Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter CVE-2020-17049

Handeln Sie

Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, müssen Sie alle folgenden Schritte ausführen:

  1. Aktualisieren Sie alle Geräte, die die Active Directory-Domänencontrollerrolle hosten, indem Sie mindestens eines der Windows-Updates zwischen dem 8. Dezember 2020 und dem 9. März 2021 installieren. Beachten Sie, dass das Risiko dieser Sicherheitsanfälligkeit durch die Installation des Windows-Updates nicht vollständig beseitigt wird. Sie müssen zusätzlich die Schritte 2 und 3 ausführen.

  2. Aktualisieren Sie alle Geräte, auf denen die Active Directory-Domänencontrollerrolle gehostet wird, indem Sie das Windows-Update vom 13. April 2021 installieren.

  3. Aktivieren Sie den Erzwingungsmodus auf allen Active Directory-Domänencontrollern.

  4. Beginnend mit dem Update vom 13. Juli 2021 zur Erzwingungsphase wird der Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert.

Zeitplan dieser Windows-Updates

Diese Windows-Updates werden in drei Phasen veröffentlicht:

  • Die erste Bereitstellungsphase für Windows-Updates, die am oder nach dem 8. Dezember 2020 veröffentlicht wurden.

  • Eine zweite Bereitstellungsphase ab dem 13. April 2021, in der die Einstellung von PerformTicketSignature auf 0 entfernt wird und die Einstellung auf entweder 1 oder 2 erforderlich ist.

  • Die Erzwingungsphase für Windows-Updates, die am oder nach dem 13. Juli 2021 veröffentlicht werden.

8. Dezember 2020: Erst Bereitstellungsphase

Die erste Bereitstellungsphase beginnt mit dem am 8. Dezember 2020 veröffentlichten Windows-Update und wird mit einem späteren Windows-Update für die Erzwingungsphase fortgesetzt. Durch diese und spätere Windows-Updates werden Änderungen an Kerberos vorgenommen. Dieses Update vom 8. Dezember 2020 enthält Fixes für alle bekannten Probleme, die erstmals mit der Veröffentlichung von CVE-2020-17049 vom 10. November 2020 bekanntgemacht wurden. Mit diesem Update wird zudem die Unterstützung für Windows Server 2008 SP2 und Windows Server 2008 R2 hinzugefügt.

Diese Version:

  • Behebt CVE-2020-17049 (standardmäßig im Bereitstellungsmodus).

  • Fügt die Unterstützung für den Registrierungsschlüssel PerformTicketSignature hinzu, um den Schutz auf Active Directory-Domänencontroller-Servern zu aktivieren. Dieser Eintrag ist standardmäßig nicht vorhanden.

Die Risikominderung besteht in der Installation der Windows-Updates auf allen Geräten, auf denen die Active Directory-Domänencontrollerrolle und schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODC) gehostet werden, gefolgt vom Aktivieren des Erzwingungsmodus.

13. April 2021: Zweite Bereitstellungsphase

Die zweite Bereitstellungsphase beginnt mit dem Windows-Update, das am 13. April 2021 veröffentlicht wird. In dieser Phase wird die Einstellung von PerformTicketSignature auf 0 entfernt. Wenn Sie PerformTicketSignature nach der Installation dieses Updates auf 0 festlegen, hat dies den gleichen Effekt wie das Festlegen von PerformTicketSignature auf 1. Die Domänencontroller befinden sich dann im Bereitstellungsmodus.

Hinweise

  • Diese Phase ist nicht erforderlich, wenn PerformTicketSignature in Ihrer Umgebung nie auf 0 gesetzt worden ist. In dieser Phase wird sichergestellt, dass Kunden, die PerformTicketSignature auf 0 gesetzt haben, vor der Erzwingungsphase auf die Einstellung 1 umgestellt werden.

  • Mit der Bereitstellung der Updates vom 13. April 2021 ermöglicht das Festlegen von PerformTicketSignature auf 1 die Erneuerung von Diensttickets. Dies ist eine Änderung des Verhaltens im Vergleich zu Windows-Updates vor April 2021, bei denen durch das Festlegen von PerformTicketSignature auf 1 die Diensttickets nicht erneuert werden konnten.

  • Bei diesem Update wird davon ausgegangen, dass alle Domänencontroller zuvor mit den Updates vom 8. Dezember 2020 oder höher aktualisiert werden.

  • Nach der Installation dieses Updates und dem manuellen oder programmgesteuerten Festlegen von PerformTicketSignature auf 1 oder höher funktionieren nicht unterstützte Windows Server-Domänencontroller nicht mehr mit unterstützten Domänencontrollern. Dies umfasst Windows Server 2008 und Windows Server 2008 R2 ohne erweiterte Sicherheitsupdates (Extended Security Updates, ESU) sowie Windows Server 2003.

13. Juli 2021: Erzwingungsphase

Mit der Veröffentlichung vom 13. Juli 2021 beginnt die Erzwingungsphase. In der Erzwingungsphase werden die Änderungen zur Behebung von CVE-2020-17049 erzwungen. Active Directory-Domänencontroller können jetzt im Erzwingungsmodus ausgeführt werden. Bevor sie auf den Erzwingungsmodus umgestellt werden können, müssen alle Active Directory-Domänencontroller das Update vom 8. Dezember 2020 oder ein neueres Windows-Update installiert haben. Zu diesem Zeitpunkt werden die Registrierungsschlüsseleinstellungen für PerformTicketSignature ignoriert, und der Erzwingungsmodus kann nicht außer Kraft gesetzt werden. 

Installationsanleitung

Vor der Installation dieses Updates

Sie müssen die folgenden erforderlichen Updates installiert haben, bevor Sie dieses Update anwenden. Wenn Sie Windows Update verwenden, werden diese erforderlichen Updates bei Bedarf automatisch vorgeschlagen.

Wichtig Sie müssen Ihr Gerät neu starten, nachdem Sie diese erforderlichen Updates installiert haben.

Installieren aller Updates

Um das Sicherheitsrisiko zu beheben, müssen Sie alle Windows Updates installieren und den Erzwingungsmodus aktivieren. Führen Sie dazu die folgenden Schritte aus:

  1. Stellen Sie mindestens eines der Updates zwischen dem 8. Dezember 2020 und dem 9. März 2021 für alle Active Directory-Domänencontroller in der Gesamtstruktur zur Verfügung.

  2. Stellen Sie das Update vom 12. April 2021 erst mindestens eine Woche nach Schritt 1 bereit.

  3. Nachdem alle Active Directory-Domänencontroller aktualisiert wurden, warten Sie mindestens eine volle Woche, bis alle ausstehenden S4U2self-Kerberos-Diensttickets (Service for User to Self) abgelaufen sind. Erst dann kann der vollständige Schutz aktiviert werden, indem der Erzwingungsmodus des Active Directory-Domänencontrollers bereitgestellt wird.

    Hinweise

    • Wenn Sie die Ablaufzeiten der Kerberos-Diensttickets gegenüber den Standardeinstellungen geändert haben (Standard ist 7 Tage), müssen Sie mindestens die Anzahl der Tage abwarten, die in Ihrer Umgebung konfiguriert ist.

    • Bei diesen Schritten wird davon ausgegangen, dass PerformTicketSignature in Ihrer Umgebung noch nie auf 0 gesetzt wurde. Wenn PerformTicketSignature auf 0 gesetzt wurde, müssen Sie den Parameter zunächst auf 1 setzen, bevor Sie ihn auf 2 (Erzwingungsmodus) festlegen, und dann mindestens eine Woche warten, damit sichergestellt ist, dass alle ausstehenden S4U2self-Kerberos-Diensttickets (Service for User to Self) abgelaufen sind. Sie sollten ihn nicht direkt von 0 auf 2 (Erzwingungsmodus) umstellen.


Schritt 1: Installieren der Windows-Updates

Installieren Sie das entsprechende Windows-Update vom 8. Dezember 2020 oder ein späteres Windows-Update auf allen Geräten, die die Active Directory-Domänencontrollerrolle in der Gesamtstruktur hosten, einschließlich schreibgeschützter Domänencontroller.

Windows Serverprodukt

KB-Nr.

Updatetyp

Windows Server, Version 20H2 (Server-Core-Installation)

4592438

Sicherheitsupdate

Windows Server, Version 2004 (Server-Core-Installation)

4592438

Sicherheitsupdate

Windows Server, Version 1909 (Server Core-Installation)

4592449

Sicherheitsupdate

Windows Server, Version 1903 (Server-Core-Installation)

4592449

Sicherheitsupdate

Windows Server 2019 (Server Core-Installation)

4592440

Sicherheitsupdate

Windows Server 2019

4592440

Sicherheitsupdate

Windows Server 2016 (Server-Core-Installation)

4593226

Sicherheitsupdate

Windows Server 2016

4593226

Sicherheitsupdate

Windows Server 2012 R2 (Server-Core-Installation)

4592484

Monatlicher Rollup

4592495

Nur Sicherheit

Windows Server 2012 R2

4592484

Monatlicher Rollup

4592495

Nur Sicherheit

Windows Server 2012 (Server-Core-Installation)

4592468

Monatlicher Rollup

4592497

Nur Sicherheit

Windows Server 2012

4592468

Monatlicher Rollup

4592497

Nur Sicherheit

Windows Server 2008 R2 Service Pack 1

4592471

Monatlicher Rollup

4592503

Nur Sicherheit

Windows Server 2008 Service Pack 2

4592498

Monatlicher Rollup

4592504

Nur Sicherheit

Schritt 2: Aktivieren des Erzwingungsmodus

Nachdem alle Geräte, die die Active Directory-Domänencontrollerrolle hosten, aktualisiert wurden, warten Sie mindestens eine volle Woche, um sicherzustellen, dass alle ausstehenden S4U2self Kerberos-Diensttickets abgelaufen sind. Aktivieren Sie anschließend den vollständigen Schutz durch die Bereitstellung des Erzwingungsmodus. Aktivieren Sie dazu den Registrierungsschlüssel für den Erzwingungsmodus.

Warnung Durch die unsachgemäße Änderung der Registrierung mit dem Registrierungs-Editor oder einer anderen Methode können schwerwiegende Probleme verursacht werden. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.

Hinweis Dieses Update führt die Unterstützung für den folgenden Registrierungswert ein, um den Erzwingungsmodus zu aktivieren. Dieser Registrierungswert wird nicht durch die Installation dieses Updates erstellt. Sie müssen diesen Registrierungswert manuell hinzufügen.

Registrierungsunterschlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Wert

PerformTicketSignature

Datentyp

REG_DWORD

Daten

1: Aktiviert den Bereitstellungsmodus. Der Fix ist auf dem Domänencontroller aktiviert, der Active Directory-Domänencontroller erfordert jedoch nicht, dass Kerberos-Diensttickets dem Fix entsprechen. Dieser Modus fügt die Unterstützung für Ticketsignaturen auf mit CVE-2020-17049 aktualisierten Domänencontrollern hinzu, aber die Domänencontroller erfordern kein Signieren von Tickets. Auf diese Weise kann eine Kombination von Domänencontrollern aus der Erstbereitstellungsphase (Domänencontroller, die auf das Erstbereitstellungsupdate vom Dezember aktualisiert wurden) und aktualisierten Domänencontrollern nebeneinander verwendet werden. Nach der Aktualisierung aller Domänencontroller und mit der Einstellung 1 werden alle neuen Tickets signiert. In diesem Modus werden neue Tickets als erneuerbar gekennzeichnet.

2: Aktiviert den Erzwingungsmodus. Dies aktiviert die Korrektur im erforderlichen Modus, in dem alle Domänen aktualisiert werden müssen und alle Active Directory-Domänencontroller Kerberos-Diensttickets mit Signaturen erfordern. Bei dieser Einstellung müssen alle Tickets signiert werden, damit sie als gültig betrachtet werden. In diesem Modus werden Tickets wieder als verlängerbar gekennzeichnet.

0: Nicht empfohlen. Deaktiviert die Signatur von Kerberos-Diensttickets, und Ihre Domänen sind nicht geschützt.

Wichtig: Einstellung 0 ist nicht kompatibel mit der Erzwingungseinstellung 2. Es kann zu zeitweiligen Authentifizierungsfehlern kommen, wenn der Erzwingungsmodus in einem späteren Stadium angewendet wird, während die Domäne auf 0 gesetzt ist. Wir empfehlen den Kunden, vor der Erzwingungsphase zu Einstellung 1 überzugehen (mindestens eine Woche vor der Anwendung der Erzwingung).

Standard

1 (wenn der Registrierungsschlüssel nicht festgelegt ist)

Ist ein Neustart erforderlich?

Nein

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

×