Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

AKTUALISIERTE 20. März 2023 – Abschnitt "Verfügbarkeit"

Zusammenfassung

Das DCOM-Remoteprotokoll (Distributed Component Object Model) ist ein Protokoll zum Verfügbarmachen von Anwendungsobjekten mithilfe von Remoteprozeduraufrufen (RPCs). DCOM wird für die Kommunikation zwischen den Softwarekomponenten von vernetzten Geräten verwendet. Härtungsänderungen in DCOM waren für CVE-2021-26414 erforderlich. Daher wird empfohlen, zu überprüfen, ob Client- oder Serveranwendungen in Ihrer Umgebung, die DCOM oder RPC verwenden, mit aktivierten Härtungsänderungen wie erwartet funktionieren.

Hinweis Es wird dringend empfohlen, das neueste verfügbare Sicherheitsupdate zu installieren. Sie bieten erweiterten Schutz vor den neuesten Sicherheitsbedrohungen. Sie bieten auch Funktionen, die wir zur Unterstützung der Migration hinzugefügt haben. Weitere Informationen und Kontext zur Härtung von DCOM finden Sie unter DCOM-Authentifizierungshärtung: Was Sie wissen müssen.

Die erste Phase der DCOM-Updates wurde am 8. Juni 2021 veröffentlicht. In diesem Update war die DCOM-Härtung standardmäßig deaktiviert. Sie können sie aktivieren, indem Sie die Registrierung wie im Abschnitt "Registrierungseinstellung zum Aktivieren oder Deaktivieren der Härtungsänderungen" beschrieben ändern. Die zweite Phase der DCOM-Updates wurde am 14. Juni 2022 veröffentlicht. Dadurch wurde die Härtung auf standardmäßig aktiviert geändert, aber die Möglichkeit, die Änderungen mithilfe der Registrierungsschlüsseleinstellungen zu deaktivieren, beibehalten. Die letzte Phase der DCOM-Updates wird im März 2023 veröffentlicht. Dadurch bleibt die DCOM-Härtung aktiviert, und die Möglichkeit, sie zu deaktivieren, wird entfernt.

Zeitplan

Updateversion

Verhaltensänderung

8. Juni 2021

Phase 1 Release: Härtungsänderungen sind standardmäßig deaktiviert, aber mit der Möglichkeit, sie mithilfe eines Registrierungsschlüssels zu aktivieren.

14. Juni 2022

Phase 2 Release: Härtungsänderungen sind standardmäßig aktiviert, aber mit der Möglichkeit, sie mithilfe eines Registrierungsschlüssels zu deaktivieren.

14. März 2023

Phase 3 Release: Härtungsänderungen sind standardmäßig aktiviert, ohne sie zu deaktivieren. Bis zu diesem Punkt müssen Sie alle Kompatibilitätsprobleme mit den Härtungsänderungen und Anwendungen in Ihrer Umgebung beheben.

Testen der DCOM-Härtungskompatibilität

Neue DCOM-Fehlerereignisse

Um Ihnen zu helfen, die Anwendungen zu identifizieren, bei denen nach der Aktivierung von DCOM-Sicherheitshärtungsänderungen Kompatibilitätsprobleme auftreten können, haben wir neue DCOM-Fehlerereignisse im Systemprotokoll hinzugefügt. Weitere Informationen finden Sie in den folgenden Tabellen. Das System protokolliert diese Ereignisse, wenn es erkennt, dass eine DCOM-Clientanwendung versucht, einen DCOM-Server mit einer Authentifizierungsebene zu aktivieren, die kleiner als RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ist. Sie können die Ablaufverfolgung auf das Clientgerät aus dem serverseitigen Ereignisprotokoll ausführen und clientseitige Ereignisprotokolle verwenden, um die Anwendung zu finden.

Serverereignisse : Angeben, dass der Server Anforderungen auf niedrigerer Ebene empfängt

Ereigniskennung

Nachricht

10036

"Die Richtlinie für serverseitige Authentifizierungsebene lässt dem Benutzer %1\%2 SID (%3) von Adresse %4 nicht zu, den DCOM-Server zu aktivieren. Erhöhen Sie die Aktivierungsauthentifizierungsebene mindestens auf RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in der Clientanwendung."

(%1 – Domäne, %2 – Benutzername, %3 – Benutzer-SID, %4 – Client-IP-Adresse)

Clientereignisse : Geben Sie an, welche Anwendung Anforderungen auf niedrigerer Ebene sendet.

Ereigniskennung

Nachricht

10037

"Die Anwendung %1 mit PID %2 fordert die Aktivierung der CLSID %3 auf computer %4 mit explizit festgelegter Authentifizierungsebene auf %5 an. Die niedrigste für DCOM erforderliche Aktivierungsauthentifizierungsstufe ist 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Wenden Sie sich an den Anbieter der Anwendung, um die Aktivierungsauthentifizierungsstufe zu erhöhen."

10038

"Die Anwendung %1 mit PID %2 fordert die Aktivierung der CLSID %3 auf computer %4 mit der Standardaktivierungsauthentifizierungsstufe %5 an. Die niedrigste für DCOM erforderliche Aktivierungsauthentifizierungsstufe ist 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Wenden Sie sich an den Anbieter der Anwendung, um die Aktivierungsauthentifizierungsstufe zu erhöhen."

(%1 – Anwendungspfad, %2 – Anwendungs-PID, %3 – CLSID der COM-Klasse, die die Anwendung aktiviert, %4 – Computername, %5 – Wert der Authentifizierungsebene)

Verfügbarkeit

Diese Fehlerereignisse sind nur für eine Teilmenge von Windows-Versionen verfügbar. siehe tabelle unten.

Windows-Version

Verfügbar zu oder nach diesen Terminen

Windows Server 2022

27. September 2021

KB5005619

Windows 10, Version 2004, Windows 10, Version 20H2, Windows 10, Version 21H1

1. September 2021

KB5005101

Windows 10, Version 1909

Dienstag, 26. August 2021

KB5005103

Windows Server 2019, Windows 10, Version 1809

Dienstag, 26. August 2021

KB5005102

Windows Server 2016, Windows 10, Version 1607

14. September 2021

KB5005573

Windows Server 2012 R2 und Windows 8.1

12. Oktober 2021

KB5006714

Windows 11, Version 22H2

30. September 2022

KB5017389

Clientseitiger Patch für die automatische Erhöhung der Anforderung

Authentifizierungsebene für alle nicht anonymen Aktivierungsanforderungen

Um App-Kompatibilitätsprobleme zu reduzieren, haben wir die Authentifizierungsebene für alle nicht anonymen Aktivierungsanforderungen von Windows-basierten DCOM-Clients automatisch auf mindestens RPC_C_AUTHN_LEVEL_PKT_INTEGRITY erhöht. Mit dieser Änderung werden die meisten Windows-basierten DCOM-Clientanforderungen automatisch akzeptiert, wobei DCOM-Härtungsänderungen auf der Serverseite aktiviert sind, ohne dass der DCOM-Client weiter geändert wird. Darüber hinaus arbeiten die meisten Windows DCOM-Clients automatisch mit DCOM-Härtungsänderungen auf der Serverseite, ohne dass der DCOM-Client weiter geändert wird.

Hinweis Dieser Patch ist weiterhin in den kumulativen Updates enthalten.

Patchupdatezeitachse

Seit der ersten Veröffentlichung im November 2022 verfügte der Patch mit automatischen Erhöhten über einige Updates.

  • Update november 2022

    • Durch dieses Update wurde die Aktivierungsauthentifizierungsebene automatisch auf die Paketintegrität erhöht. Diese Änderung war unter Windows Server 2016 und Windows Server 2019 standardmäßig deaktiviert.

  • Update dezember 2022

    • Die Änderung vom November war für Windows Server 2016 und Windows Server 2019 standardmäßig aktiviert.

    • Dieses Update hat auch ein Problem behoben, das sich auf die anonyme Aktivierung auf Windows Server 2016 und Windows Server 2019 auswirkte.

  • Update januar 2023

    • Dieses Update hat ein Problem behoben, das sich auf die anonyme Aktivierung auf Plattformen von Windows Server 2008 bis Windows 10 (erste Version veröffentlicht Juli 2015) auswirkte.

Wenn Sie die kumulativen Sicherheitsupdates ab Januar 2023 auf Ihren Clients und Servern installiert haben, ist der neueste Patch mit automatischen Erhöhten vollständig aktiviert.

Registrierungseinstellung zum Aktivieren oder Deaktivieren der Härtungsänderungen

Während der Zeitachsenphasen, in denen Sie die Härtungsänderungen für CVE-2021-26414 aktivieren oder deaktivieren können, können Sie den folgenden Registrierungsschlüssel verwenden:

  • Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Wertname: "RequireIntegrityActivationAuthenticationLevel"

  • Typ: dword

  • Wert Daten: default= 0x00000000 bedeutet deaktiviert. 0x00000001 bedeutet aktiviert. Wenn dieser Wert nicht definiert ist, wird er standardmäßig aktiviert.

Hinweis Sie müssen Wertdaten im Hexadezimalformat eingeben.

Wichtig Sie müssen Ihr Gerät neu starten, nachdem Sie diesen Registrierungsschlüssel festgelegt haben, damit er wirksam wird.

Hinweis Wenn Sie den oben genannten Registrierungsschlüssel aktivieren, erzwingen DCOM-Server eine Authentication-Level von RPC_C_AUTHN_LEVEL_PKT_INTEGRITY oder höher für die Aktivierung. Dies wirkt sich nicht auf die anonyme Aktivierung aus (Aktivierung mit Authentifizierungsebene RPC_C_AUTHN_LEVEL_NONE). Wenn der DCOM-Server die anonyme Aktivierung zulässt, ist sie auch dann zulässig, wenn DCOM-Härtungsänderungen aktiviert sind.

Hinweis Dieser Registrierungswert ist standardmäßig nicht vorhanden. sie müssen erstellt werden. Windows liest es, wenn es vorhanden ist, und überschreibt es nicht.

Hinweis Bei der Installation von späteren Updates werden vorhandene Registrierungseinträge und -einstellungen weder geändert noch entfernt.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.