ΣΗΜΑΝΤΙΚΌ Η ημερομηνία για την κατάσταση ενεργοποίησης, όπως αναφέρθηκε προηγουμένως σε αυτό το άρθρο, έχει αλλάξει σε 9 Μαρτίου 2021. |
Σύνοψη
Εάν χρησιμοποιείτε τις επιλογές Προστατευμένοι χρήστες και Περιορισμένη ανάθεση βάσει πόρων (RBCD), ενδέχεται να υπάρχει ευπάθεια ασφαλείας στους ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory. Για να μάθετε περισσότερα σχετικά με την ευαισθησία στην ασφάλεια, ανατρέξτε στο θέμα CVE-2020-16996.
Ανάληψη δράσης Για να προστατεύσετε το περιβάλλον σας και να αποτρέψετε τυχόν διακοπές λειτουργίας, πρέπει να κάνετε τα εξής:
|
Χρονισμός ενημερώσεων
Αυτές οι ενημερώσεις Windows θα κυκλοφορήσουν σε δύο φάσεις:
-
Η φάση αρχικής ανάπτυξης για Windows ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 8 Δεκεμβρίου 2020.
-
Η φάση ενεργοποίησης για Windows ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 9 Μαρτίου 2021.
8 Δεκεμβρίου 2020: Φάση αρχικής ανάπτυξης
Η φάση αρχικής ανάπτυξης ξεκινά με την ενημέρωση Windows που κυκλοφόρησε στις 8 Δεκεμβρίου 2020 και συνεχίζει με μια μεταγενέστερη ενημέρωση Windows για τη φάση Ενεργοποίηση. Αυτές και οι νεότερες ενημερώσεις Windows κάνουν αλλαγές στο Kerberos.
Αυτή η έκδοση:
-
Διευθύνσεις CVE-2020-16996 (απενεργοποιημένες από προεπιλογή).
-
Προσθέτει υποστήριξη για την τιμή μητρώου NonForwardableDelegation για να ενεργοποιήσει την προστασία σε διακομιστές ελεγκτή τομέα Active Directory. Από προεπιλογή, η τιμή δεν υπάρχει.
Ο μετριασμός αποτελείται από την εγκατάσταση του Windows ενημερώσεων σε όλες τις συσκευές που φιλοξενούν το ρόλο του ελεγκτή τομέα Active Directory και των ελεγκτών τομέα μόνο για ανάγνωση (CS) και, στη συνέχεια, την ενεργοποίηση της λειτουργίας ενεργοποίησης.
9 Μαρτίου 2021: Φάση ενεργοποίησης
Η κυκλοφορία της 9ης Μαρτίου 2021 μεταβαίνει στη φάση ενεργοποίησης. Η φάση επιβολής επιβάλλει τις αλλαγές για την αντιμετώπιση του CVE-2020-16996. Οι ελεγκτές τομέα Active Directory θα βρίσκονται τώρα σε λειτουργία ενεργοποίησης, εκτός εάν το κλειδί μητρώου της λειτουργίας ενεργοποίησης έχει οριστεί σε 1 (Απενεργοποιημένο). Εάν οριστεί το κλειδί μητρώου της λειτουργίας επιβολής, η ρύθμιση θα εφαρμοστεί. Για να μεταβείτε σε λειτουργία ενεργοποίησης, απαιτείται όλοι οι ελεγκτές τομέα Active Directory να έχουν εγκαταστήσει την ενημέρωση της 8ης Δεκεμβρίου 2020 ή νεότερη ενημέρωση.
Οδηγίες εγκατάστασης
Πριν από την εγκατάσταση αυτής της ενημέρωσης
Για να εφαρμόσετε αυτή την ενημέρωση, πρέπει να έχετε εγκατεστημένες τις ακόλουθες απαιτούμενες ενημερώσεις. Εάν χρησιμοποιείτε το Windows Update, αυτές οι απαιτούμενες ενημερώσεις θα προσφέρονται αυτόματα, ανάλογα με τις ανάγκες.
-
Πρέπει να έχετε εγκαταστήσει την ενημέρωση SHA-2 (KB4474419) με ημερομηνία 23 Σεπτεμβρίου 2019 ή νεότερη ενημέρωση SHA-2 και, στη συνέχεια, να επανεκκινήσετε τη συσκευή σας προτού εφαρμόσετε αυτή την ενημέρωση. Για περισσότερες πληροφορίες σχετικά με τις ενημερώσεις του SHA-2, ανατρέξτε στο θέμα Απαίτηση υποστήριξης υπογραφής κώδικα SHA-2 για το 2019 για το Windows και το WSUS.
-
Για Windows Server 2008 R2 SP1, πρέπει να έχετε εγκαταστήσει την ενημέρωση στοίβας συντήρησης (SSU) (KB4490628) που έχει με ημερομηνία 12 Μαρτίου 2019. Μετά την εγκατάσταση της ενημέρωσης KB4490628, συνιστάται να εγκαταστήσετε την πιο πρόσφατη ενημέρωση SSU. Για περισσότερες πληροφορίες σχετικά με την πιο πρόσφατη ενημέρωση της SSU, ανατρέξτε στο θέμα ADV990001 | Πιο πρόσφατες ενημερώσεις στοίβας συντήρησης.
-
Για Windows Server 2008 SP2, πρέπει να έχετε εγκαταστήσει την ενημέρωση στοίβας συντήρησης (SSU) (KB4493730) που έχει ημερομηνία 9 Απριλίου 2019. Μετά την εγκατάσταση της ενημέρωσης KB4493730, συνιστάται να εγκαταστήσετε την πιο πρόσφατη ενημέρωση SSU. Για περισσότερες πληροφορίες σχετικά με τις πιο πρόσφατες ενημερώσεις SSU, ανατρέξτε στο θέμα ADV990001 | Πιο πρόσφατες ενημερώσεις στοίβας συντήρησης.
-
Οι πελάτες πρέπει να αγοράσουν την Εκτεταμένη ενημέρωση ασφαλείας (ESU) για εκδόσεις εσωτερικής εγκατάστασης του Windows Server 2008 SP2 ή του Windows Server 2008 R2 SP1 μετά τη λήξη της εκτεταμένης υποστήριξης στις 14 Ιανουαρίου 2020. Οι πελάτες που έχουν αγοράσει την ESU πρέπει να ακολουθήσουν τις διαδικασίες στην KB4522133 για να συνεχίσουν να λαμβάνουν ενημερώσεις ασφαλείας. Για περισσότερες πληροφορίες σχετικά με την ESU και ποιες εκδόσεις υποστηρίζονται, ανατρέξτε στο άρθρο KB4497181.
ΣημαντικόΠρέπει να επανεκκινήσετε τη συσκευή σας μετά την εγκατάσταση αυτών των απαιτούμενων ενημερώσεων.
Εγκατάσταση της ενημέρωσης
Για να επιλύσετε την ευαισθησία στην ασφάλεια, εγκαταστήστε τις ενημερώσεις του Windows και ενεργοποιήστε τη λειτουργία ενεργοποίησης, ακολουθώντας τα παρακάτω βήματα.
Προειδοποίηση Περιστασιακά προβλήματα ελέγχου ταυτότητας ενδέχεται να προκύψουν εάν αυτές οι Windows ενημερώσεις και η τιμή μητρώου εφαρμόζονται με ασυνέπεια σε ένα ή και στα δύο από τα παρακάτω σενάρια:
Σημαντικό Τόσο Windows ενημερώσεις όσο και η τιμή μητρώου πρέπει να εφαρμόζονται με συνέπεια σε ΟΛΟΥΣ τους ελεγκτές τομέα Active Directory στο περιβάλλον σας. |
Βήμα 1: Εγκατάσταση της ενημέρωσης Windows
Εγκαταστήστε την ενημέρωση της Windows της 8ης Δεκεμβρίου 2020 ή μια νεότερη Windows σε όλες τις συσκευές που φιλοξενούν το ρόλο του ελεγκτή τομέα Active Directory στο δάσος, συμπεριλαμβανομένων των ελεγκτών τομέα μόνο για ανάγνωση.
προϊόν Windows Server |
KB # |
Τύπος ενημέρωσης |
Windows Server, έκδοση 20H2 (Βασική εγκατάσταση διακομιστή) |
Ενημέρωση ασφαλείας |
|
Windows Server, έκδοση 2004 (Εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server, έκδοση 1909 (Εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server, έκδοση 1903 (Εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server 2019 (Εγκατάσταση του Server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server 2019 |
Ενημέρωση ασφαλείας |
|
Windows Server 2016 (Εγκατάσταση του Server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server 2016 |
Ενημέρωση ασφαλείας |
|
Windows Server 2012 R2 (Εγκατάσταση του Server Core) |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2012 R2 |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2012 (Εγκατάσταση του Server Core) |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2012 |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2008 R2 Service Pack 1 |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2008 Service Pack 2 |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
Βήμα 2: Ενεργοποίηση λειτουργίας ενεργοποίησης
Μετά την ενημέρωση όλων των συσκευών που φιλοξενούν το ρόλο του ελεγκτή τομέα Active Directory, περιμένετε τουλάχιστον μια ολόκληρη ημέρα για να λήξουν όλα τα δελτία υπηρεσίας που εκκρεμούν για τον χρήστη στον εαυτό (S4U2self) Kerberos. Στη συνέχεια, ενεργοποιήστε την πλήρη προστασία με την ανάπτυξη της λειτουργίας επιβολής. Για να το κάνετε αυτό, ενεργοποιήστε το κλειδί μητρώου της λειτουργίας ενεργοποίησης.
Προειδοποίηση Εάν τροποποιήσετε εσφαλμένα το μητρώο χρησιμοποιώντας τον Επεξεργαστή Μητρώου ή κάποια άλλη μέθοδο, ενδέχεται να προκύψουν σοβαρά προβλήματα. Αυτά τα προβλήματα ενδέχεται να απαιτήσουν την επανεγκατάσταση του λειτουργικού συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι αυτά τα προβλήματα μπορούν να επιλυθούν. Τροποποιήστε το μητρώο με δική σας ευθύνη.
Σημείωση Αυτή η τιμή μητρώου δεν δημιουργείται με την εγκατάσταση αυτής της ενημέρωσης. Πρέπει να προσθέσετε αυτή την τιμή μητρώου με μη αυτόματο τρόπο.
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Τιμή |
NonForwardableDelegation |
Τύπος δεδομένων |
REG_DWORD |
Δεδομένα |
1:Απενεργοποιεί τη λειτουργία ενεργοποίησης. 0:Ενεργοποιεί τη λειτουργία ενεργοποίησης. Αυτή είναι η προστατευμένη πολιτεία. |
Προεπιλογή |
1 |
Απαιτείται Επανεκκίνηση; |
Όχι |
Σημειώσεις σχετικά με τηντιμήμητρώου "NonForwardableDelegation":
-
Εάν έχει οριστεί η τιμή μητρώου, θα έχει προτεραιότητα σε σχέση με τη ρύθμιση της λειτουργίας ενεργοποίησης που περιλαμβάνεται στις ενημερώσεις της 9ης Μαρτίου 2021 Windows.
-
Εάν η τιμή μητρώου οριστεί σε 1 (Απενεργοποίηση), η προώθηση θα επιτρέπεται σε δελτία υπηρεσίας Kerberos που ΔΕΝ έχουν επισημανθεί ως προωθήσιμα.
-
Εάν η τιμή μητρώου οριστεί σε 0 (Ενεργοποίηση), ΔΕΝ θα επιτρέπεται η προώθηση σε δελτία υπηρεσίας Kerberos που ΔΕΝ έχουν επισημανθεί ως προωθήσιμα.
-
-
Εάν ο τομέας σας περιλαμβάνει Windows Server 2008 R2 ή παλαιότερους ελεγκτές τομέα Active Directory, δεν χρειάζεται να ορίσετε λειτουργία ενεργοποίησης, επειδή αυτοί οι ελεγκτές τομέα δεν υποστηρίζουν RBCD.
-
Εάν δεν ενημερώσετε με συνέπεια όλους τους ελεγκτές τομέα Active Directory κατά την ενεργοποίηση της λειτουργίας ενεργοποίησης, θα υπάρξουν κατά διαστήματα αποτυχίες ανάθεσης υπηρεσίας.
-
Πριν από τη ρύθμιση της λειτουργίας ενεργοποίησης:
-
Όλοι οι ελεγκτές τομέα Active Directory πρέπει να ενημερωθούν με την ενημέρωση της Windows της 8ης Δεκεμβρίου 2020 ή με νεότερη Windows ενημέρωση και
-
Όλα τα εκκρεμή δελτία υπηρεσίας S4USelf Kerberos πρέπει να έχουν λήξει σε αναμονή μία ημέρα μετά την ολοκλήρωση της ανάπτυξης ενημερώσεων του Windows σε όλους τους ελεγκτές τομέα Active Directory.
-
Επιπλέον ζητήματα
Όταν είναι ενεργοποιημένη αυτή η προστασία, ενοποιεί τη λογική για Resource-Based Περιορισμένη ανάθεση (RBCD) με την αρχική περιορισμένη ανάθεση. Αυτό μπορεί να προκαλέσει προβλήματα στα δύο παρακάτω σενάρια:
-
Μια μεμονωμένη υπηρεσία χρησιμοποιεί ταυτόχρονα την αρχική περιορισμένη ανάθεση Kerberos (KCD) χωρίς τη μετάβαση πρωτοκόλλου σε έναν προορισμό ενώ χρησιμοποιεί το RBCD με τη μετάβαση πρωτοκόλλου σε έναν άλλο. Μετά από αυτή την αλλαγή, η μετάβαση άρνηση πρωτοκόλλου θα εφαρμοστεί και στα δύο στυλ ανάθεσης.
-
Το RBCD χρησιμοποιείται σε έναν τομέα που χρησιμοποιεί ελεγκτές τομέα που δεν ενημερώνονται με CVE-2020-16996 ή εκτελούν παλαιότερες εκδόσεις του Windows Server (παλαιότερες από τον Window Server 2012) που δεν διαθέτουν διαθέσιμη ενημέρωση για το CVE-2020-16996. Τα βασικά κέντρα διανομής (KDC) που δεν ενημερώνονται δεν θα επισημάνουν δελτία υπηρεσίας S4USelf Kerberos ως εντάξει για την ανάθεση και τη μετάβαση πρωτοκόλλου δεν θα απορρίπτεται.