KB5004442—Διαχείριση αλλαγών για παράκαμψη δυνατοτήτων ασφαλείας windows DCOM Server (CVE-2021-26414)

ΕΝΗΜΕΡΩΣΗ 20 Μαρτίου 2023 - Ενότητα διαθεσιμότητας

Σύνοψη

Το απομακρυσμένο πρωτόκολλο Distributed Component Object Model (DCOM) είναι ένα πρωτόκολλο για την έκθεση αντικειμένων εφαρμογών με χρήση κλήσεων απομακρυσμένης διαδικασίας (RPCs). Η υπηρεσία DCOM χρησιμοποιείται για την επικοινωνία μεταξύ των στοιχείων λογισμικού των συσκευών δικτύου. Οι αλλαγές σκλήρυνσης στο DCOM απαιτούνταν για CVE-2021-26414. Επομένως, συνιστάται να επαληθεύσετε εάν οι εφαρμογές υπολογιστή-πελάτη ή διακομιστή στο περιβάλλον σας που χρησιμοποιούν DCOM ή RPC λειτουργούν όπως αναμένεται με ενεργοποιημένες τις αλλαγές θωράκισης.

Σημείωση Συνιστούμε ανεπιφύλακτα να εγκαταστήσετε την πιο πρόσφατη διαθέσιμη ενημέρωση ασφαλείας. Παρέχουν προηγμένη προστασία από τις πιο πρόσφατες απειλές για την ασφάλεια. Παρέχουν επίσης δυνατότητες που έχουμε προσθέσει για την υποστήριξη της μετεγκατάστασης. Για περισσότερες πληροφορίες και πληροφορίες σχετικά με το πώς σκληρύνουμε το DCOM, ανατρέξτε στο θέμα Θωλήξη ελέγχου ταυτότητας DCOM: τι πρέπει να γνωρίζετε.

Η πρώτη φάση των ενημερώσεων DCOM κυκλοφόρησε στις 8 Ιουνίου 2021. Σε αυτήν την ενημέρωση, η σκλήρυνση DCOM απενεργοποιήθηκε από προεπιλογή. Μπορείτε να τις ενεργοποιήσετε τροποποιώντας το μητρώο όπως περιγράφεται στην ενότητα "Ρύθμιση μητρώου για την ενεργοποίηση ή απενεργοποίηση των αλλαγών θωριότητας" παρακάτω. Η δεύτερη φάση των ενημερώσεων DCOM κυκλοφόρησε στις 14 Ιουνίου 2022. Αυτό άλλαξε τη σκλήρυνση σε ενεργοποιημένη από προεπιλογή, αλλά διατήρησε τη δυνατότητα απενεργοποίησης των αλλαγών χρησιμοποιώντας τις ρυθμίσεις κλειδιών μητρώου. Η τελική φάση των ενημερώσεων DCOM θα κυκλοφορήσει τον Μάρτιο του 2023. Θα διατηρήσει τη σκλήρυνση DCOM ενεργοποιημένη και θα αφαιρέσει τη δυνατότητα απενεργοποίησης.

Λωρίδα χρόνου

Ενημέρωση έκδοσης	Αλλαγή συμπεριφοράς
8 Ιουνίου 2021	Έκδοση φάσης 1 - Οι αλλαγές θωλάκισης απενεργοποιούνται από προεπιλογή, αλλά με τη δυνατότητα να ενεργοποιηθούν χρησιμοποιώντας ένα κλειδί μητρώου.
14 Ιουνίου 2022	Έκδοση φάσης 2 - Οι αλλαγές σκλήρυνσης ενεργοποιήθηκαν από προεπιλογή, αλλά με τη δυνατότητα απενεργοποίησής τους χρησιμοποιώντας ένα κλειδί μητρώου.
14 Μαρτίου 2023	Έκδοση φάσης 3 - Οι αλλαγές θωλάκισης ενεργοποιούνται από προεπιλογή χωρίς δυνατότητα απενεργοποίησής τους. Σε αυτό το σημείο, πρέπει να επιλύσετε τυχόν προβλήματα συμβατότητας με τις αλλαγές και τις εφαρμογές θωμάσης στο περιβάλλον σας.

Δοκιμές για συμβατότητα θωντάνσης DCOM

Νέα συμβάντα σφάλματος DCOM

Για να σας βοηθήσουμε να προσδιορίσετε τις εφαρμογές που ενδέχεται να αντιμετωπίζουν προβλήματα συμβατότητας μετά την ενεργοποίηση των αλλαγών θωμά της ασφάλειας DCOM, προσθέσαμε νέα συμβάντα σφαλμάτων DCOM στο αρχείο καταγραφής συστήματος. Δείτε τους παρακάτω πίνακες. Το σύστημα θα καταγράφει αυτά τα συμβάντα εάν εντοπίσει ότι μια εφαρμογή-πελάτης DCOM προσπαθεί να ενεργοποιήσει ένα διακομιστή DCOM χρησιμοποιώντας ένα επίπεδο ελέγχου ταυτότητας που είναι μικρότερο από RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Μπορείτε να κάνετε ανίχνευση στη συσκευή-πελάτη από το αρχείο καταγραφής συμβάντων στην πλευρά του διακομιστή και να χρησιμοποιήσετε αρχεία καταγραφής συμβάντων από την πλευρά του προγράμματος-πελάτη για να βρείτε την εφαρμογή.

Συμβάντα διακομιστή - Υποδείξτε ότι ο διακομιστής λαμβάνει αιτήσεις χαμηλότερου επιπέδου

Αναγνωριστικό συμβάντος	Μήνυμα
10036	"Η πολιτική επιπέδου ελέγχου ταυτότητας από την πλευρά του διακομιστή δεν επιτρέπει στο χρήστη %1\%2 SID (%3) από τη διεύθυνση %4 να ενεργοποιήσει το διακομιστή DCOM. Αυξήστε το επίπεδο ελέγχου ταυτότητας ενεργοποίησης τουλάχιστον για να RPC_C_AUTHN_LEVEL_PKT_INTEGRITY στην εφαρμογή-πελάτη". (%1 – τομέας, %2 – όνομα χρήστη, %3 – SID χρήστη, %4 – Διεύθυνση IP υπολογιστή-πελάτη)

Αναγνωριστικό συμβάντος

Μήνυμα

10036

"Η πολιτική επιπέδου ελέγχου ταυτότητας από την πλευρά του διακομιστή δεν επιτρέπει στο χρήστη %1\%2 SID (%3) από τη διεύθυνση %4 να ενεργοποιήσει το διακομιστή DCOM. Αυξήστε το επίπεδο ελέγχου ταυτότητας ενεργοποίησης τουλάχιστον για να RPC_C_AUTHN_LEVEL_PKT_INTEGRITY στην εφαρμογή-πελάτη".

(%1 – τομέας, %2 – όνομα χρήστη, %3 – SID χρήστη, %4 – Διεύθυνση IP υπολογιστή-πελάτη)

Συμβάντα προγράμματος-πελάτη – Υποδείξτε ποια εφαρμογή στέλνει αιτήσεις χαμηλότερου επιπέδου

Αναγνωριστικό συμβάντος	Μήνυμα
10037	"Η εφαρμογή %1 με PID %2 ζητά την ενεργοποίηση του CLSID %3 στον υπολογιστή %4 με ρητά καθορισμένο επίπεδο ελέγχου ταυτότητας στο %5. Το χαμηλότερο επίπεδο ελέγχου ταυτότητας ενεργοποίησης που απαιτείται από την DCOM είναι 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Για να αυξήσετε το επίπεδο ελέγχου ταυτότητας ενεργοποίησης, επικοινωνήστε με τον προμηθευτή της εφαρμογής."
10038	"Η εφαρμογή %1 με PID %2 ζητά την ενεργοποίηση του CLSID %3 στον υπολογιστή %4 με προεπιλεγμένο επίπεδο ελέγχου ταυτότητας ενεργοποίησης στο %5. Το χαμηλότερο επίπεδο ελέγχου ταυτότητας ενεργοποίησης που απαιτείται από την DCOM είναι 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Για να αυξήσετε το επίπεδο ελέγχου ταυτότητας ενεργοποίησης, επικοινωνήστε με τον προμηθευτή της εφαρμογής." (%1 – Διαδρομή εφαρμογής, %2 – PID εφαρμογής, %3 – CLSID της κλάσης COM που ζητά η εφαρμογή για ενεργοποίηση, %4 – Όνομα υπολογιστή, %5 – Τιμή επιπέδου ελέγχου ταυτότητας)

Αναγνωριστικό συμβάντος

Μήνυμα

10037

"Η εφαρμογή %1 με PID %2 ζητά την ενεργοποίηση του CLSID %3 στον υπολογιστή %4 με ρητά καθορισμένο επίπεδο ελέγχου ταυτότητας στο %5. Το χαμηλότερο επίπεδο ελέγχου ταυτότητας ενεργοποίησης που απαιτείται από την DCOM είναι 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Για να αυξήσετε το επίπεδο ελέγχου ταυτότητας ενεργοποίησης, επικοινωνήστε με τον προμηθευτή της εφαρμογής."

10038

"Η εφαρμογή %1 με PID %2 ζητά την ενεργοποίηση του CLSID %3 στον υπολογιστή %4 με προεπιλεγμένο επίπεδο ελέγχου ταυτότητας ενεργοποίησης στο %5. Το χαμηλότερο επίπεδο ελέγχου ταυτότητας ενεργοποίησης που απαιτείται από την DCOM είναι 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Για να αυξήσετε το επίπεδο ελέγχου ταυτότητας ενεργοποίησης, επικοινωνήστε με τον προμηθευτή της εφαρμογής."

(%1 – Διαδρομή εφαρμογής, %2 – PID εφαρμογής, %3 – CLSID της κλάσης COM που ζητά η εφαρμογή για ενεργοποίηση, %4 – Όνομα υπολογιστή, %5 – Τιμή επιπέδου ελέγχου ταυτότητας)

Διαθεσιμότητα

Αυτά τα συμβάντα σφάλματος είναι διαθέσιμα μόνο για ένα υποσύνολο των εκδόσεων των Windows. ανατρέξτε στον παρακάτω πίνακα.

Έκδοση των Windows	Διαθέσιμο στις ή μετά από αυτές τις ημερομηνίες
Windows Server 2022	27 Σεπτεμβρίου 2021 KB5005619
Windows 10, έκδοση 2004, Windows 10, έκδοση 20H2, Windows 10, έκδοση 21H1	1 Σεπτεμβρίου 2021 KB5005101
Windows 10, έκδοση 1909	26 Αυγούστου 2021 KB5005103
Windows Server 2019, Windows 10, έκδοση 1809	26 Αυγούστου 2021 KB5005102
Windows Server 2016, Windows 10, έκδοση 1607	14 Σεπτεμβρίου 2021 KB5005573
Windows Server 2012 R2 και Windows 8.1	12 Οκτωβρίου 2021 KB5006714
Windows 11, έκδοση 22H2	30 Σεπτεμβρίου 2022 KB5017389

Ενημέρωση κώδικα αυτόματης ανύψωσης αιτήματος από την πλευρά του προγράμματος-πελάτη

Επίπεδο ελέγχου ταυτότητας για όλες τις μη ανώνυμες αιτήσεις ενεργοποίησης

Για να μειώσουμε τα προβλήματα συμβατότητας εφαρμογών, έχουμε αυξήσει αυτόματα το επίπεδο ελέγχου ταυτότητας για όλες τις μη ανώνυμες αιτήσεις ενεργοποίησης από προγράμματα-πελάτες DCOM που βασίζονται σε Windows σε RPC_C_AUTHN_LEVEL_PKT_INTEGRITY τουλάχιστον. Με αυτήν την αλλαγή, οι περισσότερες αιτήσεις προγράμματος-πελάτη DCOM που βασίζονται σε Windows θα γίνονται αυτόματα αποδεκτές με ενεργοποιημένες τις αλλαγές θωμάσης DCOM στην πλευρά του διακομιστή χωρίς περαιτέρω τροποποίηση του προγράμματος-πελάτη DCOM. Επιπλέον, οι περισσότεροι υπολογιστές-πελάτες Windows DCOM θα λειτουργούν αυτόματα με αλλαγές θωριάς DCOM στην πλευρά του διακομιστή χωρίς περαιτέρω τροποποίηση στο πρόγραμμα-πελάτη DCOM.

Σημείωση Αυτή η ενημέρωση κώδικα θα συνεχίσει να περιλαμβάνεται στις αθροιστικές ενημερώσεις.

Ενημέρωση λωρίδας χρόνου ενημέρωσης κώδικα

Από την αρχική κυκλοφορία τον Νοέμβριο του 2022, η ενημέρωση κώδικα αυτόματης ανύψωσης είχε μερικές ενημερώσεις.

Ενημέρωση Νοεμβρίου 2022
- Αυτή η ενημέρωση αύξησε αυτόματα το επίπεδο ελέγχου ταυτότητας ενεργοποίησης στην ακεραιότητα πακέτων. Αυτή η αλλαγή απενεργοποιήθηκε από προεπιλογή στον Windows Server 2016 και τον Windows Server 2019.
Ενημέρωση Δεκεμβρίου 2022
- Η αλλαγή Νοεμβρίου ήταν ενεργοποιημένη από προεπιλογή για τον Windows Server 2016 και τον Windows Server 2019.
- Αυτή η ενημέρωση αντιμετώπισε επίσης ένα πρόβλημα που επηρέαζε την ανώνυμη ενεργοποίηση στον Windows Server 2016 και τον Windows Server 2019.

Ενημέρωση Ιανουαρίου 2023
- Αυτή η ενημέρωση αντιμετώπισε ένα πρόβλημα που επηρέαζε την ανώνυμη ενεργοποίηση σε πλατφόρμες από τον Windows Server 2008 έως Windows 10 (αρχική έκδοση που κυκλοφόρησε τον Ιούλιο του 2015).

Αν έχετε εγκαταστήσει τις αθροιστικές ενημερώσεις ασφαλείας από τον Ιανουάριο του 2023 στους υπολογιστές-πελάτες και τους διακομιστές σας, θα έχουν την πιο πρόσφατη ενημέρωση κώδικα αυτόματης αναβάθμισης πλήρως ενεργοποιημένη.

Ρύθμιση μητρώου για την ενεργοποίηση ή απενεργοποίηση των αλλαγών θωριότητας

Κατά τη διάρκεια των φάσεων της λωρίδας χρόνου στις οποίες μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε τις αλλαγές θωριότητας για το CVE-2021-26414, μπορείτε να χρησιμοποιήσετε το ακόλουθο κλειδί μητρώου:

Διαδρομή: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Τύπος: dword
Τιμή Δεδομένα: προεπιλογή= 0x00000000 σημαίνει απενεργοποιημένη. 0x00000001 σημαίνει ενεργοποιημένος. Εάν δεν οριστεί αυτή η τιμή, θα ενεργοποιηθεί από προεπιλογή.

Σημείωση Πρέπει να εισαγάγετε δεδομένα τιμής σε δεκαεξαδική μορφή.

Σημαντικό Για να τεθεί σε ισχύ, πρέπει να επανεκκινήσετε τη συσκευή σας μετά τη ρύθμιση αυτού του κλειδιού μητρώου.

Σημείωση Αν ενεργοποιήσετε το παραπάνω κλειδί μητρώου, οι διακομιστές DCOM θα επιβάλουν Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ή νεότερη έκδοση για ενεργοποίηση. Αυτό δεν επηρεάζει την ανώνυμη ενεργοποίηση (ενεργοποίηση με χρήση επιπέδου ελέγχου ταυτότητας RPC_C_AUTHN_LEVEL_NONE). Εάν ο διακομιστής DCOM επιτρέπει την ανώνυμη ενεργοποίηση, θα εξακολουθήσει να επιτρέπεται ακόμα και όταν είναι ενεργοποιημένες οι αλλαγές θωντάνησης DCOM.

Σημείωση Αυτή η τιμή μητρώου δεν υπάρχει από προεπιλογή. πρέπει να το δημιουργήσετε. Τα Windows θα το διαβάσουν, αν υπάρχει και δεν θα το αντικαταστήσουν.

Σημείωση Η εγκατάσταση νεότερων ενημερώσεων δεν θα αλλάξει ούτε θα καταργήσει υπάρχουσες καταχωρήσεις και ρυθμίσεις μητρώου.