TÄHTIS Selles artiklis varem mainitud jõustamisrežiimi kuupäev on muutunud kuupäevaks 9. märts 2021. |
Kokkuvõte
Kui kasutate kaitstud kasutajaidja ressursipõhist piiranguga delegeerimist (RBCD), võib Active Directory domeenikontrollerites esineda turbehaavatavus. Turbehaavatavuse kohta leiate lisateavet teemast CVE-2020-16996.
Toimingu võtmiseks Keskkonna kaitsmiseks ja katkestuste vältimiseks peate tegema järgmist.
|
Värskenduste ajastus
Need Windows värskendused avaldati kahes etapis.
-
8. detsembril 2020 välja antud Windows või pärast seda välja antud algse juurutamise etapp.
-
9. märtsil 2021 välja antud Windows või pärast seda välja antud värskenduste jõustamisetapp.
8. detsember 2020: algne juurutusetapp
Algjuurutusetapp algab Windows 8. detsembril 2020 välja antud Windows värskendusega. Need ja uuemad Windows muudatused kerberoses.
Selles versioonis:
-
Aadressid CVE-2020-16996 (vaikimisi keelatud).
-
Lisab NonForwardableDelegationi registriväärtuse toe, et lubada active Directory domeenikontrolleri serverites kaitse. Vaikimisi pole seda väärtust olemas.
Leevendamine hõlmab kõigisse seadmetesse Windows mis majutavad Active Directory domeenikontrolleri rolli ja kirjutuskaitstud domeenikontrolleriid (RODCs) ning seejärel jõustamisrežiimi lubamist.
9. märts 2021: jõustamisetapp
9. märtsi 2021 versiooni üleminekud jõustamisetapile. Jõustamisetapis jõustatakse CVE-2020-16996 muudatused. Active Directory domeenikontrollerid on nüüd jõustamisrežiimis, v.a juhul, kui jõustamisrežiimi registrivõtmeks on seatud 1 (keelatud). Kui jõustamisrežiimi registrivõti on määratud, on säte austatud. Jõustamisrežiimi kasutamiseks peab kõigil Active Directory domeenikontrolleritel olema installitud 8. detsembril 2020 värskendus või uuem värskendus.
Installijuhised
Enne selle värskenduse installimist
Enne selle värskenduse rakendamist peavad teil olema installitud järgmised nõutavad värskendused. Kui kasutate Windows värskendust, pakutakse neid nõutavaid värskendusi vastavalt vajadusele automaatselt.
-
Teil peab olema installitud SHA-2 värskendus(KB4474419),mis on dateeeritud 23. septembril 2019 või uuem SHA-2 värskendus, ja seejärel taaskäivitage seade enne selle värskenduse rakendamist. Lisateavet SHA-2 värskenduste kohta leiate teemast 2019 SHA-2koodi allkirjastamise tuginõue Windows WSUS-i jaoks.
-
Windows Server 2008 R2 SP1 jaoks peab teil olema installitud teenusepinu värskendus (SSU)(KB4490628),mis on dateeeritud 12. märtsil 2019. Pärast värskenduse KB4490628 installimist soovitame installida uusima SSU värskenduse. Lisateavet uusima SSU värskenduse kohta leiate teemast ADV990001 | Uusimad teeninduspinu värskendused.
-
Windows Server 2008 SP2 jaoks peab teil olema installitud 9. aprillil 2019 kuupäevaga hoolduspinu värskendus (SSU)(KB4493730). Pärast värskenduse KB4493730 installimist soovitame installida uusima SSU värskenduse. Uusimate SSU värskenduste kohta leiate lisateavet teemast ADV990001 | Uusimad teeninduspinu värskendused.
-
Kliendid peavad ostma laiendatud turbevärskenduse (ESU) Windows Server 2008 SP2 või Windows Server 2008 R2 SP1 asutusesisese versiooni jaoks, kui pikendatud tugi lõppes 14. jaanuaril 2020. Kliendid, kes on ostnud ESU, peavad turbevärskenduste saamise jätkamiseks järgima kb4522133 toiminguid. Lisateavet ESU ja selle kohta, milliseid väljaandeid toetatakse, leiate teemast KB4497181.
NB!Pärast nende nõutavate värskenduste installimist peate seadme taaskäivitama.
Värskenduse installimine
Turbehaavatavuse lahendamiseks installige Windows ja lubage jõustamisrežiim, järgides neid juhiseid.
Hoiatus. Aeg-ajalt ilmnevad autentimisprobleemid, kui Windows värskendusi ja registriväärtust rakendatakse ebajärjekindlalt ühel või mõlemal järgmisel juhul.
NB! Nii Windows kui ka registriväärtust tuleb rakendada järjekindlalt teie keskkonnas kõigile Active Directory domeenikontrolleritele. |
1. juhis: installige Windows värskendus
Installige 8. detsembril 2020 Windows värskendus või uuem Windows värskendus kõigile seadmetele, mis majutavad Active Directory domeenikontrolleri rolli metsas (sh kirjutuskaitstud domeenikontrollerid).
Windows Serveri toode |
KB # |
Värskenduse tüüp |
Windows Server, versioon 20H2 (Serveri põhiinstall) |
Turbevärskendus |
|
Windows Server, versioon 2004 (Serveri põhiinstall) |
Turbevärskendus |
|
Windows Server, versioon 1909 (Serveri põhiinstall) |
Turbevärskendus |
|
Windows Server, versioon 1903 (Serveri põhiinstall) |
Turbevärskendus |
|
Windows Server 2019 (Serveri põhiinstall) |
Turbevärskendus |
|
Windows Server 2019 |
Turbevärskendus |
|
Windows Server 2016 (Serveri põhiinstall) |
Turbevärskendus |
|
Windows Server 2016 |
Turbevärskendus |
|
Windows Server 2012 R2 (Serveri põhiinstall) |
Igakuine värskenduskomplekt |
|
Ainult turve |
||
Windows Server 2012 R2 |
Igakuine värskenduskomplekt |
|
Ainult turve |
||
Windows Server 2012 (Serveri põhiinstall) |
Igakuine värskenduskomplekt |
|
Ainult turve |
||
Windows Server 2012 |
Igakuine värskenduskomplekt |
|
Ainult turve |
||
Windows Server 2008 R2 Service Pack 1 |
Igakuine värskenduskomplekt |
|
Ainult turve |
||
Windows Server 2008 hoolduspakett 2 |
Igakuine värskenduskomplekt |
|
Ainult turve |
2. juhis: jõustamisrežiimi lubamine
Pärast seda, kui kõik Active Directory domeenikontrolleri rolli majutavad seadmed on värskendatud, oodake vähemalt tervet päeva, et lubada kõigi tasumata teenuse kasutajalt Selfi (S4U2self) Kerberose teenusepiletite aegumine. Seejärel lubage täielik kaitse, juurutades jõustamisrežiimi. Selleks lubage registrivõti Jõustamisrežiim.
Hoiatus. Kui muudate registrit registriredaktori või mõne muu meetodi abil valesti, võivad ilmneda tõsised probleemid. Nende probleemide lahendamiseks peate opsüsteemi uuesti installima. Microsoft ei saa tagada, et neid probleeme saab lahendada. Muutke registrit omal vastutusel.
Märkus. Seda registriväärtust ei looda selle värskenduse installimisega. Peate selle registriväärtuse käsitsi lisama.
Registri alamvõti |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Väärtus |
NonForwardableDelegation |
Andmetüüp |
REG_DWORD |
Andmed |
1:keelab jõustamisrežiimi. 0:lubab jõustamisrežiimi. See on kaitstud olek. |
Vaikesäte |
1 |
Kas taaskäivitamine on nõutav? |
Ei |
Märkused registriväärtuse
"NonForwardableDelegation" kohta.
-
Kui registriväärtus on määratud, on see 9. märtsil 2021 lisatud jõustamisrežiimi sätte ees Windows.
-
Kui registriväärtuseks on seatud 1 (Keela), on edasisaatmine lubatud Kerberose teenusepiletite puhul, mis pole märgitud edasisaattavaks.
-
Kui registriväärtuseks on seatud 0 (Luba), pole edasisaatmine Kerberose teenusepiletite puhul lubatud, mis pole märgitud edasisaattavaks.
-
-
Kui teie domeen sisaldab Windows Server 2008 R2 või varasemaid Active Directory domeenikontrolleriid, ei pea te jõustamisrežiimi häälestama, kuna need domeenikontrollerid ei toeta RBCD-d.
-
Kui jõustamisrežiimi lubamisel ei värskendata pidevalt kõiki Active Directory domeenikontrolleriid, ilmneb aeg-ajalt teenuse delegeerimise tõrked.
-
Enne jõustamisrežiimi seadmist:
-
Kõiki Active Directory domeenikontrolleriid tuleb värskendada Windows 8. detsembril 2020 või Windows värskendusega ja
-
Kõik tasumata S4USelf Kerberose teenusepiletid peavad olema aegunud, oodates päeva pärast Windows värskendamist kõigi Active Directory domeenikontrollerite jaoks.
-
Täiendavad kaalutlused
Kui see kaitse on lubatud, ühtlustab see Resource-Based piiranguga delegeerimise (RBCD) loogika algse piiranguga delegeerimisega. See võib põhjustada probleeme kahel järgmisel juhul.
-
Üks teenus kasutab samaaegselt algset Kerberose piiranguga delegeerimist (KCD) ilma protokolli üleminekuta ühele sihtkohale, kui ta kasutab RBCD-d koos protokolli üleminekuga teisele. Pärast seda muudatust rakendub mõlemale delegeerimislaadile protokolli ülemineku keelamine.
-
RBCD-d kasutatakse domeenis, mis kasutab domeenikontrolleriid, mida ei värskendata versiooniga CVE-2020-16996 ega käitatakse Windows Serveri vanemaid versioone (vanemad kui Window Server 2012), mis ei ole saadaval CVE-2020-16996 jaoks. Värskendamata põhijaotuskeskused (KDCs) ei märgi S4USelf Kerberose teenusepileteid delegeerimise ja protokollide ülemineku korral tagasi.