Σημαντικό: Οι ημερομηνίες κυκλοφορίας που αναφέρονται προηγουμένως σε αυτό το άρθρο έχουν αλλάξει. Σημειώστε τις νέες ημερομηνίες κυκλοφορίας στις ενότητες "Ανάληψη δράσης" και "Χρονισμός αυτών των ενημερώσεων των Windows".
Σύνοψη
Υπάρχει ένα θέμα ευπάθειας παράκαμψης δυνατοτήτων ασφαλείας στον τρόπο με τον οποίο το Κέντρο διανομής κλειδιών (KDC) καθορίζει εάν ένα δελτίο υπηρεσίας Kerberos μπορεί να χρησιμοποιηθεί για ανάθεση μέσω της περιορισμένης ανάθεσης kerberos (KCD). Για να εκμεταλλευτεί την ευπάθεια, μια παραβιασμένη υπηρεσία που έχει ρυθμιστεί ώστε να χρησιμοποιεί το KCD θα μπορούσε να παραποιηθεί με ένα δελτίο υπηρεσίας Kerberos που δεν είναι έγκυρο για ανάθεση, ώστε να επιβάλει την αποδοχή του KDC. Αυτές οι ενημερώσεις των Windows αντιμετωπίσουν αυτό το θέμα ευπάθειας, αλλάζοντας τον τρόπο με τον οποίο το KDC επικυρώνει τα δελτία υπηρεσίας Kerberos που χρησιμοποιούνται με το KCD.
Για να μάθετε περισσότερα σχετικά με αυτό το θέμα ευπάθειας, ανατρέξτε στο θέμα CVE-2020-17049.
Ανάληψη δράσης Για να προστατεύσετε το περιβάλλον σας και να αποτρέψετε τις εκτός λειτουργίας, πρέπει να ακολουθήσετε όλα αυτά τα βήματα:
|
Χρονισμός αυτών των ενημερώσεων των Windows
Αυτές οι ενημερώσεις των Windows θα κυκλοφορήσουν σε τρεις φάσεις:
-
Η αρχική φάση ανάπτυξης για ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 8 Δεκεμβρίου 2020.
-
Μια δεύτερη φάση ανάπτυξης που καταργεί τη ρύθμιση PerformTicketSignature0 και απαιτεί ρύθμιση 1 ή 2,στις ή μετά τις 13 Απριλίου 2021.
-
Η φάση επιβολής για ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 13 Ιουλίου 2021.
8 Δεκεμβρίου 2020: Φάση αρχικής ανάπτυξης
Η αρχική φάση ανάπτυξης ξεκινά με την ενημέρωση των Windows που κυκλοφόρησε στις 8 Δεκεμβρίου 2020 και συνεχίζεται με μια νεότερη ενημέρωση των Windows για τη φάση επιβολής. Αυτές και νεότερες ενημερώσεις των Windows κάνουν αλλαγές στο Kerberos. Αυτή η ενημέρωση 8 Δεκεμβρίου 2020 περιλαμβάνει επιδιορθώσεις για όλα τα γνωστά προβλήματα που παρουσιάστηκαν αρχικά από την κυκλοφορία 10 Νοεμβρίου 2020 του CVE-2020-17049. Αυτή η ενημέρωση προσθέτει επίσης υποστήριξη για το Windows Server 2008 SP2 και τον Windows Server 2008 R2.
Αυτή η έκδοση:
-
Διευθύνσεις CVE-2020-17049 (σε λειτουργία ανάπτυξης από προεπιλογή).
-
Προσθέτει υποστήριξη για την τιμή μητρώου PerformTicketSignature για την ενεργοποίηση της προστασίας σε διακομιστές ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory. Από προεπιλογή, αυτή η τιμή δεν υπάρχει.
Ο μετριασμός αποτελείται από την εγκατάσταση των ενημερώσεων των Windows σε όλες τις συσκευές που φιλοξενούν το ρόλο του ελεγκτή τομέα Active Directory και τους ελεγκτές τομέα μόνο για ανάγνωση (RODCs) και, στη συνέχεια, την ενεργοποίηση της λειτουργίας επιβολής.
13 Απριλίου 2021: Δεύτερη φάση ανάπτυξης
Η δεύτερη φάση ανάπτυξης ξεκινά με το Windows Update που κυκλοφόρησε στις 13 Απριλίου 2021. Αυτή η φάση καταργεί τη ρύθμιση PerformTicketSignature0. Η ρύθμιση performTicketSignatureσε 0 μετά την εγκατάσταση αυτής της ενημέρωσης θα έχει το ίδιο αποτέλεσμα με τη ρύθμιση performTicketSignature σε 1. Οι DCs θα είναι σε λειτουργία ανάπτυξης.
Σημειώσεις
-
Αυτή η φάση δεν είναι απαραίτητη εάν το PerformTicketSignature δεν έχει οριστεί ποτέ σε 0 στο περιβάλλον σας. Αυτή η φάση σάς βοηθά να βεβαιωθείτε ότι οι πελάτες που έχουν ορίσει το PerformTicketSignatureσε 0 μετακινούνται στη ρύθμιση 1 πριν από τη φάση επιβολής.
-
Με την ανάπτυξη των ενημερώσεων της 13ης Απριλίου 2021, η ρύθμιση "PerformTicketSignature"σε 1 θα επιτρέψει την ανανέωση των δελτίων υπηρεσίας. Αυτή είναι μια αλλαγή στη συμπεριφορά από τις ενημερώσεις των Windows πριν από τον Απρίλιο του 2021 κατά τη ρύθμιση του PerformTicketSignatureσε 1, η οποία προκάλεσε την μη ανανέωση των δελτίων υπηρεσίας.
-
Αυτή η ενημέρωση προϋποθέτει ότι όλοι οι ελεγκτές τομέα ενημερώνονται με τις ενημερώσεις της 8ης Δεκεμβρίου 2020 ή νεότερες ενημερώσεις.
-
Μετά την εγκατάσταση αυτής της ενημέρωσης και τη μη αυτόματη ή προγραμματική ρύθμιση του PerformTicketSignatureσε 1 ή μεγαλύτερη, οι μη υποστηριζόμενοι ελεγκτές τομέα του Windows Server δεν θα λειτουργούν πλέον με υποστηριζόμενους ελεγκτές τομέα. Σε αυτά περιλαμβάνονται τα Windows Server 2008 και Windows Server 2008 R2 χωρίς εκτεταμένες ενημερώσεις ασφαλείας (ESU) και Windows Server 2003.
13 Ιουλίου 2021: Φάση επιβολής
Η κυκλοφορία της 13ης Ιουλίου 2021 μεταβάσεις στη φάση επιβολής. Η φάση επιβολής επιβάλλει τις αλλαγές για τη διεύθυνση CVE-2020-17049. Οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory έχουν πλέον τη δυνατότητα λειτουργίας επιβολής. Η λειτουργία επιβολής απαιτεί να έχουν εγκατασταθεί όλοι οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory την ενημέρωση 8 Δεκεμβρίου 2020 ή νεότερη ενημέρωση των Windows. Αυτή τη στιγμή, οι ρυθμίσεις κλειδιού μητρώου PerformTicketSignature θα παραβλέπονται και δεν είναι δυνατή η παράβλεψη της λειτουργίας επιβολής.
Οδηγίες εγκατάστασης
Πριν από την εγκατάσταση αυτής της ενημέρωσης
Πρέπει να έχετε εγκαταστήσει τις παρακάτω απαιτούμενες ενημερώσεις πριν από την εφαρμογή αυτής της ενημέρωσης. Εάν χρησιμοποιείτε το Windows Update, αυτές οι απαιτούμενες ενημερώσεις θα προσφέρονται αυτόματα, όπως απαιτείται.
-
Πρέπει να έχετε εγκατεστημένη την ενημέρωση SHA-2 (KB4474419) που έχει ημερομηνία 23 Σεπτεμβρίου 2019 ή νεότερη ενημέρωση SHA-2 και, στη συνέχεια, να επανεκκινήσετε τη συσκευή σας πριν εφαρμόσετε αυτήν την ενημέρωση. Για περισσότερες πληροφορίες σχετικά με τις ενημερώσεις SHA-2, ανατρέξτε στο θέμα Απαιτήσεις υποστήριξης υπογραφής κώδικα SHA-2 για Windows και WSUS 2019.
-
Για τον Windows Server 2008 R2 SP1, πρέπει να έχετε εγκαταστήσει την ενημέρωση στοίβας συντήρησης (SSU) (KB4490628) με ημερομηνία 12 Μαρτίου 2019. Μετά την εγκατάσταση της ενημέρωσης KB4490628, συνιστάται να εγκαταστήσετε την πιο πρόσφατη ενημέρωση SSU. Για περισσότερες πληροφορίες σχετικά με την πιο πρόσφατη ενημέρωση SSU, ανατρέξτε στο θέμα ADV9990001 | Τελευταίες ενημερώσεις στοίβας συντήρησης.
-
Για το Windows Server 2008 SP2, πρέπει να έχετε εγκαταστήσει την ενημέρωση στοίβας συντήρησης (SSU) (KB4493730) που έχει ημερομηνία 9 Απριλίου 2019. Μετά την εγκατάσταση της ενημέρωσης KB4493730, συνιστάται να εγκαταστήσετε την πιο πρόσφατη ενημέρωση SSU. Για περισσότερες πληροφορίες σχετικά με τις πιο πρόσφατες ενημερώσεις SSU, ανατρέξτε στο θέμα ADV9990001 | Τελευταίες ενημερώσεις στοίβας συντήρησης.
-
Οι πελάτες πρέπει να αγοράσουν την Εκτεταμένη ενημέρωση ασφαλείας (ESU) για τις εκδόσεις εσωτερικής εγκατάστασης του Windows Server 2008 SP2 ή του Windows Server 2008 R2 SP1 μετά την εκτεταμένη υποστήριξη που έληξε στις 14 Ιανουαρίου 2020. Οι πελάτες που έχουν αγοράσει το ESU πρέπει να ακολουθήσουν τις διαδικασίες της KB4522133 για να συνεχίσουν να λαμβάνουν ενημερώσεις ασφαλείας. Για περισσότερες πληροφορίες σχετικά με το ESU και ποιες εκδόσεις υποστηρίζονται, ανατρέξτε στο θέμα KB4497181.
Σημαντικό Πρέπει να επανεκκινήσετε τη συσκευή σας μετά την εγκατάσταση αυτών των απαιτούμενων ενημερώσεων.
Εγκατάσταση όλων των ενημερώσεων
Για να επιλύσετε το θέμα ευπάθειας ασφαλείας, εγκαταστήστε όλες τις ενημερώσεις των Windows και ενεργοποιήστε τη λειτουργία επιβολής, ακολουθώντας τα παρακάτω βήματα:
-
Αναπτύξτε τουλάχιστον μία από τις ενημερώσεις από τις 8 Δεκεμβρίου 2020 έως τις 9 Μαρτίου 2021 σε όλους τους ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory στο δάσος.
-
Αναπτύξτε την ενημέρωση 12 Απριλίου 2021 τουλάχιστον μία ή περισσότερες εβδομάδες μετά το βήμα 1.
-
Αφού ενημερωθούν όλοι οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory, περιμένετε τουλάχιστον μια ολόκληρη εβδομάδα για να επιτρέψετε τη λήξη όλων των εκκρεμών δελτίων υπηρεσίας Kerberos για την υπηρεσία "Υπηρεσία από χρήστη σε χρήστη" (S4U2self) και, στη συνέχεια, η πλήρης προστασία μπορεί να ενεργοποιηθεί με την ανάπτυξη της λειτουργίας επιβολής του ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory.
Σημειώσεις-
Εάν έχετε τροποποιήσει τους χρόνους λήξης του δελτίου υπηρεσίας Kerberos από τις προεπιλεγμένες ρυθμίσεις (η προεπιλογή είναι 7 ημέρες), τότε πρέπει να περιμένετε τουλάχιστον τον αριθμό των ημερών που έχουν ρυθμιστεί στο περιβάλλον σας.
-
Αυτά τα βήματα προϋποθετούν ότι το PerformTicketSignature δεν έχει οριστεί ποτέ σε 0 στο περιβάλλον σας. Εάν η επιλογή PerformTicketSignature έχει οριστεί σε 0,πρέπει να μετακινηθείτε στη ρύθμιση 1 πριν από τη μετάβαση στη ρύθμιση 2 (λειτουργία επιβολής) και να περιμένετε τουλάχιστον μια εβδομάδα για να επιτρέψετε τη λήξη όλων των εκκρεμών δελτίων υπηρεσίας Kerberos για την υπηρεσία "Από χρήστη σε χρήστη" (S4U2self). Δεν πρέπει να μετακινείστε απευθείας από τη ρύθμιση 0 στη ρύθμιση 2 (λειτουργία επιβολής).
-
Βήμα 1: Εγκατάσταση ενημερώσεων των Windows
Εγκαταστήστε την κατάλληλη ενημέρωση των Windows 8 Δεκεμβρίου 2020 ή μια νεότερη ενημέρωση των Windows σε όλες τις συσκευές που φιλοξενούν το ρόλο ελεγκτή τομέα Active Directory στο σύμπλεγμα δομών, συμπεριλαμβανομένων των ελεγκτών τομέα μόνο για ανάγνωση.
Προϊόν Windows Server |
KB # |
Τύπος ενημέρωσης |
Windows Server, έκδοση 20H2 (Βασική εγκατάσταση διακομιστή) |
Ενημέρωση ασφαλείας |
|
Windows Server, έκδοση 2004 (Εγκατάσταση server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server, έκδοση 1909 (Εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server, έκδοση 1903 (Εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server 2019 (Εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server 2019 |
Ενημέρωση ασφαλείας |
|
Windows Server 2016 (Εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
Windows Server 2016 |
Ενημέρωση ασφαλείας |
|
Windows Server 2012 R2 (Εγκατάσταση του Server Core) |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2012 R2 |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2012 (Εγκατάσταση Server Core) |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2012 |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2008 R2 Service Pack 1 |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
||
Windows Server 2008 Service Pack 2 |
Μηνιαία συνάθροιση |
|
Μόνο για την ασφάλεια |
Βήμα 2: Ενεργοποίηση λειτουργίας επιβολής
Αφού ενημερωθούν όλες οι συσκευές που φιλοξενούν το ρόλο ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory, περιμένετε τουλάχιστον μια ολόκληρη εβδομάδα για να επιτρέψετε τη λήξη όλων των εκκρεμών δελτίων υπηρεσίας S4U2self Kerberos. Στη συνέχεια, ενεργοποιήστε την πλήρη προστασία, αναπτύσσοντας τη λειτουργία επιβολής. Για να το κάνετε αυτό, ενεργοποιήστε το κλειδί μητρώου λειτουργίας επιβολής.
Προειδοποίηση Ενδέχεται να προκύψουν σοβαρά προβλήματα εάν τροποποιήσετε εσφαλμένα το μητρώο χρησιμοποιώντας τον Επεξεργαστή Μητρώου ή χρησιμοποιώντας μια άλλη μέθοδο. Αυτά τα προβλήματα ενδέχεται να απαιτούν την επανεγκατάσταση του λειτουργικού συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι αυτά τα προβλήματα μπορούν να επιλυθούν. Τροποποιήστε το μητρώο με δική σας ευθύνη.
Σημείωση Αυτή η ενημέρωση παρουσιάζει υποστήριξη για την ακόλουθη τιμή μητρώου για την ενεργοποίηση της λειτουργίας επιβολής. Αυτή η τιμή μητρώου δεν δημιουργείται με την εγκατάσταση αυτής της ενημέρωσης. Πρέπει να προσθέσετε αυτήν την τιμή μητρώου με μη αυτόματο τρόπο.
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Τιμή |
PerformTicketSignature |
Τύπος δεδομένων |
REG_DWORD |
Δεδομένα |
1: Ενεργοποιεί τη λειτουργία ανάπτυξης. Η επιδιόρθωση είναι ενεργοποιημένη στον ελεγκτή τομέα, αλλά ο ελεγκτής τομέα Active Directory δεν απαιτεί τα δελτία υπηρεσίας Kerberos να συμμορφώνονται με την επιδιόρθωση. Αυτή η λειτουργία προσθέτει υποστήριξη για υπογραφές δελτίων σε ενημερωμένους ελεγκτές τομέα CVE-2020-17049, αλλά οι ελεγκτές τομέα δεν απαιτούν την υπογραφή δελτίων. Αυτό επιτρέπει τη συνύπαρξη ενός μείγματος φάσης αρχικής ανάπτυξης (DCs που ενημερώθηκε στην αρχική ενημέρωση ανάπτυξης του Δεκεμβρίου) και ενημερωμένων ελεγκτών τομέα. Με όλους τους ελεγκτές τομέα ενημερωμένους και στη ρύθμιση 1,όλα τα νέα δελτία θα υπογραφούν. Σε αυτή τη λειτουργία, τα νέα δελτία θα επισημαίνονται ως ανανεώσιμα. 2: Ενεργοποιεί τη λειτουργία επιβολής Αυτό ενεργοποιεί την επιδιόρθωση στην απαιτούμενη λειτουργία όπου πρέπει να ενημερωθούν όλοι οι τομείς και όλοι οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory απαιτούν δελτία υπηρεσίας Kerberos με υπογραφές. Με αυτή τη ρύθμιση, όλα τα δελτία πρέπει να υπογράφονται για να θεωρούνται έγκυρα. Σε αυτή τη λειτουργία, τα δελτία θα επισημαίνονται ξανά ως ανανεώσιμα. 0: Δεν συνιστάται. Απενεργοποιεί τις υπογραφές δελτίων υπηρεσίας Kerberos και οι τομείς σας δεν προστατεύονται. Σημαντικό: Η ρύθμιση 0 δεν είναι συμβατή με τη ρύθμιση επιβολής 2. Οι αποτυχίες κατά τον διακεμενό έλεγχο ταυτότητας ενδέχεται να προκύψουν εάν η λειτουργία επιβολής εφαρμόζεται αργότερα, ενώ ο τομέας έχει οριστεί σε 0. Συνιστάται στους πελάτες να μετακινηθούν στη ρύθμιση 1 πριν από το στάδιο επιβολής (Τουλάχιστον μία εβδομάδα πριν από την εφαρμογή της επιβολής). |
Προεπιλογή |
1 (όταν δεν έχει οριστεί κλειδί μητρώου) |
Απαιτείται επανεκκίνηση; |
Όχι |