KB4598347: Διαχείριση ανάπτυξης αλλαγών kerberos S4U για CVE-2020-17049

8 Δεκεμβρίου 2020: Φάση αρχικής ανάπτυξης

Η αρχική φάση ανάπτυξης ξεκινά με την ενημέρωση των Windows που κυκλοφόρησε στις 8 Δεκεμβρίου 2020 και συνεχίζεται με μια νεότερη ενημέρωση των Windows για τη φάση επιβολής. Αυτές και νεότερες ενημερώσεις των Windows κάνουν αλλαγές στο Kerberos. Αυτή η ενημέρωση 8 Δεκεμβρίου 2020 περιλαμβάνει επιδιορθώσεις για όλα τα γνωστά προβλήματα που παρουσιάστηκαν αρχικά από την κυκλοφορία 10 Νοεμβρίου 2020 του CVE-2020-17049. Αυτή η ενημέρωση προσθέτει επίσης υποστήριξη για το Windows Server 2008 SP2 και τον Windows Server 2008 R2.

Αυτή η έκδοση:

• Διευθύνσεις CVE-2020-17049 (σε λειτουργία ανάπτυξης από προεπιλογή).

• Προσθέτει υποστήριξη για την τιμή μητρώου PerformTicketSignature για την ενεργοποίηση της προστασίας σε διακομιστές ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory. Από προεπιλογή, αυτή η τιμή δεν υπάρχει.

Ο μετριασμός αποτελείται από την εγκατάσταση των ενημερώσεων των Windows σε όλες τις συσκευές που φιλοξενούν το ρόλο του ελεγκτή τομέα Active Directory και τους ελεγκτές τομέα μόνο για ανάγνωση (RODCs) και, στη συνέχεια, την ενεργοποίηση της λειτουργίας επιβολής.

13 Απριλίου 2021: Δεύτερη φάση ανάπτυξης

Η δεύτερη φάση ανάπτυξης ξεκινά με το Windows Update που κυκλοφόρησε στις 13 Απριλίου 2021. Αυτή η φάση καταργεί τη ρύθμιση PerformTicketSignature0. Η ρύθμιση performTicketSignatureσε 0 μετά την εγκατάσταση αυτής της ενημέρωσης θα έχει το ίδιο αποτέλεσμα με τη ρύθμιση performTicketSignature σε 1. Οι DCs θα είναι σε λειτουργία ανάπτυξης.

Σημειώσεις

• Αυτή η φάση δεν είναι απαραίτητη εάν το PerformTicketSignature δεν έχει οριστεί ποτέ σε 0 στο περιβάλλον σας. Αυτή η φάση σάς βοηθά να βεβαιωθείτε ότι οι πελάτες που έχουν ορίσει το PerformTicketSignatureσε 0 μετακινούνται στη ρύθμιση 1 πριν από τη φάση επιβολής.

• Με την ανάπτυξη των ενημερώσεων της 13ης Απριλίου 2021, η ρύθμιση "PerformTicketSignature"σε 1 θα επιτρέψει την ανανέωση των δελτίων υπηρεσίας. Αυτή είναι μια αλλαγή στη συμπεριφορά από τις ενημερώσεις των Windows πριν από τον Απρίλιο του 2021 κατά τη ρύθμιση του PerformTicketSignatureσε 1, η οποία προκάλεσε την μη ανανέωση των δελτίων υπηρεσίας.

• Αυτή η ενημέρωση προϋποθέτει ότι όλοι οι ελεγκτές τομέα ενημερώνονται με τις ενημερώσεις της 8ης Δεκεμβρίου 2020 ή νεότερες ενημερώσεις.

• Μετά την εγκατάσταση αυτής της ενημέρωσης και τη μη αυτόματη ή προγραμματική ρύθμιση του PerformTicketSignatureσε 1 ή μεγαλύτερη, οι μη υποστηριζόμενοι ελεγκτές τομέα του Windows Server δεν θα λειτουργούν πλέον με υποστηριζόμενους ελεγκτές τομέα. Σε αυτά περιλαμβάνονται τα Windows Server 2008 και Windows Server 2008 R2 χωρίς εκτεταμένες ενημερώσεις ασφαλείας (ESU) και Windows Server 2003.

13 Ιουλίου 2021: Φάση επιβολής

Η κυκλοφορία της 13ης Ιουλίου 2021 μεταβάσεις στη φάση επιβολής. Η φάση επιβολής επιβάλλει τις αλλαγές για τη διεύθυνση CVE-2020-17049. Οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory έχουν πλέον τη δυνατότητα λειτουργίας επιβολής. Η λειτουργία επιβολής απαιτεί να έχουν εγκατασταθεί όλοι οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory την ενημέρωση 8 Δεκεμβρίου 2020 ή νεότερη ενημέρωση των Windows. Αυτή τη στιγμή, οι ρυθμίσεις κλειδιού μητρώου PerformTicketSignature θα παραβλέπονται και δεν είναι δυνατή η παράβλεψη της λειτουργίας επιβολής. 

Πριν από την εγκατάσταση αυτής της ενημέρωσης

Πρέπει να έχετε εγκαταστήσει τις παρακάτω απαιτούμενες ενημερώσεις πριν από την εφαρμογή αυτής της ενημέρωσης. Εάν χρησιμοποιείτε το Windows Update, αυτές οι απαιτούμενες ενημερώσεις θα προσφέρονται αυτόματα, όπως απαιτείται.

• Πρέπει να έχετε εγκατεστημένη την ενημέρωση SHA-2 (KB4474419) που έχει ημερομηνία 23 Σεπτεμβρίου 2019 ή νεότερη ενημέρωση SHA-2 και, στη συνέχεια, να επανεκκινήσετε τη συσκευή σας πριν εφαρμόσετε αυτήν την ενημέρωση. Για περισσότερες πληροφορίες σχετικά με τις ενημερώσεις SHA-2, ανατρέξτε στο θέμα Απαιτήσεις υποστήριξης υπογραφής κώδικα SHA-2 για Windows και WSUS 2019.

• Για τον Windows Server 2008 R2 SP1, πρέπει να έχετε εγκαταστήσει την ενημέρωση στοίβας συντήρησης (SSU) (KB4490628) με ημερομηνία 12 Μαρτίου 2019. Μετά την εγκατάσταση της ενημέρωσης KB4490628, συνιστάται να εγκαταστήσετε την πιο πρόσφατη ενημέρωση SSU. Για περισσότερες πληροφορίες σχετικά με την πιο πρόσφατη ενημέρωση SSU, ανατρέξτε στο θέμα ADV9990001 | Τελευταίες ενημερώσεις στοίβας συντήρησης.

• Για το Windows Server 2008 SP2, πρέπει να έχετε εγκαταστήσει την ενημέρωση στοίβας συντήρησης (SSU) (KB4493730) που έχει ημερομηνία 9 Απριλίου 2019. Μετά την εγκατάσταση της ενημέρωσης KB4493730, συνιστάται να εγκαταστήσετε την πιο πρόσφατη ενημέρωση SSU. Για περισσότερες πληροφορίες σχετικά με τις πιο πρόσφατες ενημερώσεις SSU, ανατρέξτε στο θέμα ADV9990001 | Τελευταίες ενημερώσεις στοίβας συντήρησης.

• Οι πελάτες πρέπει να αγοράσουν την Εκτεταμένη ενημέρωση ασφαλείας (ESU) για τις εκδόσεις εσωτερικής εγκατάστασης του Windows Server 2008 SP2 ή του Windows Server 2008 R2 SP1 μετά την εκτεταμένη υποστήριξη που έληξε στις 14 Ιανουαρίου 2020. Οι πελάτες που έχουν αγοράσει το ESU πρέπει να ακολουθήσουν τις διαδικασίες της KB4522133 για να συνεχίσουν να λαμβάνουν ενημερώσεις ασφαλείας. Για περισσότερες πληροφορίες σχετικά με το ESU και ποιες εκδόσεις υποστηρίζονται, ανατρέξτε στο θέμα KB4497181.

Σημαντικό Πρέπει να επανεκκινήσετε τη συσκευή σας μετά την εγκατάσταση αυτών των απαιτούμενων ενημερώσεων.

Εγκατάσταση όλων των ενημερώσεων

Για να επιλύσετε το θέμα ευπάθειας ασφαλείας, εγκαταστήστε όλες τις ενημερώσεις των Windows και ενεργοποιήστε τη λειτουργία επιβολής, ακολουθώντας τα παρακάτω βήματα:

1. Αναπτύξτε τουλάχιστον μία από τις ενημερώσεις από τις 8 Δεκεμβρίου 2020 έως τις 9 Μαρτίου 2021 σε όλους τους ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory στο δάσος.

2. Αναπτύξτε την ενημέρωση 12 Απριλίου 2021 τουλάχιστον μία ή περισσότερες εβδομάδες μετά το βήμα 1.

3. Αφού ενημερωθούν όλοι οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory, περιμένετε τουλάχιστον μια ολόκληρη εβδομάδα για να επιτρέψετε τη λήξη όλων των εκκρεμών δελτίων υπηρεσίας Kerberos για την υπηρεσία "Υπηρεσία από χρήστη σε χρήστη" (S4U2self) και, στη συνέχεια, η πλήρης προστασία μπορεί να ενεργοποιηθεί με την ανάπτυξη της λειτουργίας επιβολής του ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory.
   
   Σημειώσεις

   • Εάν έχετε τροποποιήσει τους χρόνους λήξης του δελτίου υπηρεσίας Kerberos από τις προεπιλεγμένες ρυθμίσεις (η προεπιλογή είναι 7 ημέρες), τότε πρέπει να περιμένετε τουλάχιστον τον αριθμό των ημερών που έχουν ρυθμιστεί στο περιβάλλον σας.

   • Αυτά τα βήματα προϋποθετούν ότι το PerformTicketSignature δεν έχει οριστεί ποτέ σε 0 στο περιβάλλον σας. Εάν η επιλογή PerformTicketSignature έχει οριστεί σε 0,πρέπει να μετακινηθείτε στη ρύθμιση 1 πριν από τη μετάβαση στη ρύθμιση 2 (λειτουργία επιβολής) και να περιμένετε τουλάχιστον μια εβδομάδα για να επιτρέψετε τη λήξη όλων των εκκρεμών δελτίων υπηρεσίας Kerberos για την υπηρεσία "Από χρήστη σε χρήστη" (S4U2self). Δεν πρέπει να μετακινείστε απευθείας από τη ρύθμιση 0 στη ρύθμιση 2 (λειτουργία επιβολής).

Βήμα 1: Εγκατάσταση ενημερώσεων των Windows

Εγκαταστήστε την κατάλληλη ενημέρωση των Windows 8 Δεκεμβρίου 2020 ή μια νεότερη ενημέρωση των Windows σε όλες τις συσκευές που φιλοξενούν το ρόλο ελεγκτή τομέα Active Directory στο σύμπλεγμα δομών, συμπεριλαμβανομένων των ελεγκτών τομέα μόνο για ανάγνωση.

Βήμα 2: Ενεργοποίηση λειτουργίας επιβολής

Αφού ενημερωθούν όλες οι συσκευές που φιλοξενούν το ρόλο ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory, περιμένετε τουλάχιστον μια ολόκληρη εβδομάδα για να επιτρέψετε τη λήξη όλων των εκκρεμών δελτίων υπηρεσίας S4U2self Kerberos. Στη συνέχεια, ενεργοποιήστε την πλήρη προστασία, αναπτύσσοντας τη λειτουργία επιβολής. Για να το κάνετε αυτό, ενεργοποιήστε το κλειδί μητρώου λειτουργίας επιβολής.

Προειδοποίηση Ενδέχεται να προκύψουν σοβαρά προβλήματα εάν τροποποιήσετε εσφαλμένα το μητρώο χρησιμοποιώντας τον Επεξεργαστή Μητρώου ή χρησιμοποιώντας μια άλλη μέθοδο. Αυτά τα προβλήματα ενδέχεται να απαιτούν την επανεγκατάσταση του λειτουργικού συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι αυτά τα προβλήματα μπορούν να επιλυθούν. Τροποποιήστε το μητρώο με δική σας ευθύνη.

Σημείωση Αυτή η ενημέρωση παρουσιάζει υποστήριξη για την ακόλουθη τιμή μητρώου για την ενεργοποίηση της λειτουργίας επιβολής. Αυτή η τιμή μητρώου δεν δημιουργείται με την εγκατάσταση αυτής της ενημέρωσης. Πρέπει να προσθέσετε αυτήν την τιμή μητρώου με μη αυτόματο τρόπο.