|
IMPORTANTE La fecha para el modo de cumplimiento, como se indicó anteriormente en este artículo, ha cambiado al 9 de marzo de 2021. |
Resumen
Si utiliza Usuarios protegidos y Delegación restringida basada en recursos (RBCD), puede existir una vulnerabilidad de seguridad en los controladores de dominio de Active Directory. Para obtener más información sobre la vulnerabilidad, consulte CVE-2020-16996.
|
Tomar medidas Para proteger el entorno y evitar interrupciones, debe hacer lo siguiente:
|
Cronograma de las actualizaciones
Estas actualizaciones de Windows se publicarán en dos fases:
-
Fase de implementación inicial para las actualizaciones de Windows publicadas el 8 de diciembre de 2020 o después.
-
Fase de cumplimiento para las actualizaciones de Windows publicadas el 9 de marzo de 2021 o después.
8 de diciembre de 2020: fase de implementación inicial
La fase de implementación inicial comienza con la actualización de Windows publicada el 8 de diciembre de 2020 y continúa con una actualización de Windows posterior para la fase de cumplimiento. Estas actualizaciones de Windows y las posteriores hacen cambios en Kerberos.
Esta publicación:
-
Soluciona la vulnerabilidad de CVE-2020-16996 (deshabilitada de forma predeterminada).
-
Agrega compatibilidad para el valor de Registro NonForwardableDelegation para habilitar una protección en los servidores de controlador de dominio de Active Directory. De forma predeterminada, el valor no existe.
La mitigación consiste en instalar las actualizaciones de Windows en todos los dispositivos que hospeden el rol de controlador de dominio de Active Directory y los controladores de dominio de solo lectura (RODC) y, luego, habilitar el modo de cumplimiento.
9 de marzo de 2021: fase de cumplimiento
La publicación del 9 de marzo de 2021 hace la transición hacia la fase de cumplimiento. La fase de cumplimiento aplica los cambios para solucionar CVE-2020-16996. Los controladores de dominio de Active Directory ahora estarán en modo de cumplimiento a menos que la clave del Registro del modo de cumplimiento se establezca en 1 (deshabilitado). Si se establece la clave del Registro del modo de cumplimiento, se respetará la configuración. Pasar al modo de cumplimiento requiere que todos los controladores de dominio de Active Directory tengan instalada la actualización del 8 de diciembre de 2020 o una actualización posterior.
Asistencia para la instalación
Antes de instalar esta actualización
Debe tener instaladas las siguientes actualizaciones requeridas antes de aplicar esta actualización: Si usa Windows Update, se le ofrecerán estas actualizaciones requeridas automáticamente según sea necesario.
-
Debe tener instalada la actualización SHA-2 (KB4474419) con fecha del 23 de septiembre de 2019 o una actualización SHA-2 posterior y, a continuación, reiniciar el dispositivo antes de aplicar esta actualización. Para obtener más información sobre las actualizaciones de SHA-2, consulte Requisito de soporte técnico para la firma de código SHA-2 2019 para Windows y WSUS.
-
Para Windows Server 2008 R2 SP1, debe tener instalada la actualización de la pila de servicio (SSU) (KB4490628) con fecha del 12 de marzo de 2019. Una vez instalada la actualización KB4490628, recomendamos que instale la actualización de SSU más reciente. Para más información sobre la actualización de SSU más reciente, consulte ADV990001 | Actualizaciones de la pila de servicio más recientes.
-
Para Windows Server 2008 SP2, debe tener instalada la actualización de la pila de servicio (SSU) (KB4493730) con fecha del 9 de abril de 2019. Una vez instalada la actualización KB4493730, recomendamos que instale la actualización de SSU más reciente. Para obtener más información sobre las últimas actualizaciones de SSU, consulte ADV990001 | Actualizaciones de la pila de servicio más recientes.
-
Los clientes deben comprar la Actualización de seguridad extendida (ESU) para las versiones locales de Windows Server 2008 SP2 o Windows Server 2008 R2 SP1 después de la finalización del soporte extendido el 14 de enero de 2020. Los clientes que hayan adquirido la ESU deben seguir los procedimientos descritos en KB4522133 para continuar recibiendo actualizaciones de seguridad. Para obtener más información sobre la ESU y qué ediciones son compatibles, consulte KB4497181.
Importante Una vez instaladas estas actualizaciones requeridas, debe reiniciar el equipo.
Instalar la actualización
Para resolver la vulnerabilidad de seguridad, instale las actualizaciones de Windows y habilite el modo de cumplimiento siguiendo estos pasos.
|
Advertencia Pueden producirse problemas de autenticación intermitentes si estas actualizaciones de Windows y el valor del Registro se aplican de forma incoherente en uno o ambos de los siguientes escenarios:
Importante Tanto las actualizaciones de Windows como el valor del Registro deben aplicarse de forma coherente en TODOS los controladores de dominio de Active Directory del entorno. |
Paso 1: instale la actualización de Windows
Instale la actualización de Windows del 8 de diciembre de 2020 en todos los dispositivos que hospedan rol el controlador de dominio de Active Directory en el bosque, incluidos los controladores de dominio de solo lectura.
|
Producto de Windows Server |
KB |
Tipo de actualización |
|
Windows Server, versión 20H2 (instalación Server Core) |
Actualización de seguridad |
|
|
Windows Server, versión 2004 (instalación de Server Core) |
Actualización de seguridad |
|
|
Windows Server, versión 1909 (instalación de Server Core) |
Actualización de seguridad |
|
|
Windows Server, versión 1903 (instalación de Server Core) |
Actualización de seguridad |
|
|
Windows Server 2019 (instalación de Server Core) |
Actualización de seguridad |
|
|
Windows Server 2019 |
Actualización de seguridad |
|
|
Windows Server 2016 (instalación de Server Core) |
Actualización de seguridad |
|
|
Windows Server 2016 |
Actualización de seguridad |
|
|
Windows Server 2012 R2 (instalación de Server Core) |
Paquete acumulativo mensual |
|
|
Solo seguridad |
||
|
Windows Server 2012 R2 |
Paquete acumulativo mensual |
|
|
Solo seguridad |
||
|
Windows Server 2012 (instalación de Server Core) |
Paquete acumulativo mensual |
|
|
Solo seguridad |
||
|
Windows Server 2012 |
Paquete acumulativo mensual |
|
|
Solo seguridad |
||
|
Windows Server 2008 R2 Service Pack 1 |
Paquete acumulativo mensual |
|
|
Solo seguridad |
||
|
Windows Server 2008 Service Pack 2 |
Paquete acumulativo mensual |
|
|
Solo seguridad |
Paso 2: Habilitar el modo de cumplimiento
Tras actualizar todos los dispositivos que hospeden el rol de controlador de dominio de Active Directory, espere al menos un día entero para que expiren todos los vales de servicio Service for User to Self (S4U2self) pendientes de Kerberos. A continuación, habilite la protección completa mediante la implementación del modo de cumplimiento. Para ello, habilite la clave del Registro del modo de cumplimiento.
Advertencia Pueden producirse graves problemas si modifica incorrectamente el registro mediante el Editor del registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft garantiza que estos problemas se puedan solucionar. Modifique el Registro bajo su propia responsabilidad.
Nota Este valor del Registro no se crea mediante la instalación de esta actualización. Debe agregar este valor del Registro manualmente.
|
Subclave del Registro |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Valor |
NonForwardableDelegation |
|
Tipo de datos |
REG_DWORD |
|
Datos |
1: Deshabilita el modo de cumplimiento. 0: Habilita el modo de cumplimiento. Este es el estado protegido. |
|
Valor predeterminado |
1 |
|
¿Es necesario reiniciar? |
No |
Notas sobre el valor del Registro "
NonForwardableDelegation":
-
Si se establece el valor del Registro, tendrá prioridad sobre la configuración del modo de cumplimiento incluida en las actualizaciones de Windows del 9 de marzo de 2021.
-
Si el valor del Registro se establece en 1 (Deshabilitar), se permitirá el reenvío de los vales de servicio de Kerberos que NO estén marcados como reenviables.
-
Si el valor del Registro se establece en 0 (Deshabilitar), NO se permitirá el reenvío de los vales de servicio de Kerberos que NO estén marcados como reenviables.
-
-
Si su dominio incluye controladores de dominio de Active Directory de Windows Server 2008 R2 o anteriores, no es necesario establecer el modo de cumplimiento porque dichos controladores de dominio no admiten RBCD.
-
Si no se actualizan de forma coherente todos los controladores de dominio de Active Directory al habilitar el modo de cumplimiento, se producirán errores intermitentes de delegación de servicio.
-
Antes de configurar el modo de cumplimiento:
-
Todos los controladores de dominio de Active Directory deben actualizarse con la actualización de Windows del 8 de diciembre de 2020 o con una actualización de Windows posterior, y
-
Todos los vales de servicio S4USelf pendientes de Kerberos deben haber expirado. Para ello, debe esperar un día después de completar la implementación de la actualización de Windows en todos los controladores de dominio de Active Directory.
-
Consideraciones adicionales
Si esta protección está habilitada, unifica la lógica de Delegación restringida basada en recursos (RBCD) con la delegación restringida original. Esto puede causar problemas en los dos escenarios siguientes:
-
Un único servicio utiliza simultáneamente la delegación restringida de Kerberos (KCD) original sin transición de protocolo a un destino mientras se utiliza RBCD con transición de protocolo a otro. Después de este cambio, la denegación de la transición de protocolo se aplicará a ambos tipos de delegación.
-
RBCD se utiliza en un dominio que utiliza controladores de dominio que no se han actualizado contra la vulnerabilidad de CVE-2020-16996 o que ejecutan versiones anteriores de Windows Server (anteriores a Windows Server 2012) para los que no hay disponible una actualización contra la vulnerabilidad de CVE-2020-16996. Los Centros de distribución de claves (KDC) que no estén actualizados no autorizarán la delegación de los vales de servicio S4USelf de Kerberos, por lo que se denegará la transición de protocolo.
