Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

NB!: Varem selles artiklis märgitud Väljalaske kuupäevad on muutunud. Pange tähele, et uued Väljalaske kuupäevad on nende Windowsi värskenduste jaotises "toimingute tegemine" ja "ajastus".

Kokkuvõte

Turvafunktsioon ümbersõit haavatavus on olemas nii, nagu võti levituse keskus (KDC) määrab, kas Kerberose teenuse piletit saab kasutada delegeerimiseks Kerberose piiratud delegeerimine (KCD). Haavatavuse ärakasutamiseks võib ohustatud teenus, mis on konfigureeritud kasutama KCD, manipuleerida Kerberose teenusega, mis ei kehti volitatud esindaja kinnitamiseks. Need Windowsi värskendused lahendavad selle haavatavuse, muutes seda, kuidas KDC valideerib KCD kasutatavaid Kerberose teenusega seotud pileteid.

Lisateavet selle haavatavuse kohta leiate teemast CVE-2020-17049

Toimingu tegemine

Keskkonna kaitsmiseks ja katkestuste ärahoidmiseks peate järgima kõiki järgmisi juhiseid.

  1. Värskendage kõik seadmed, mis majutavad Active Directory domeenikontrolleri rolli, kui installite vähemalt ühe Windowsi värskendustest 8, 2020 ja 9 märtsi vahel, 2021. Pange tähele, et Windows Update ' i installimine ei vähenda täielikult turbe haavatavust. Peate tegema ka juhis 2 ja 3.

  2. Värskendage kõik seadmed, mis majutavad Active Directory domeenikontrolleri rolli, kui installite 2021 Windows Update ' i aprillil 13.

  3. Lubamine Kõigi Active Directory domeenikontrollerite jõustamise režiim.

  4. Alates 13 juulist, 2021 jõustamise etapi värskendus, jõustamise režiim on lubatud kõigis Windowsi domeenikontrollerid.

Nende Windowsi värskenduste ajastus

Need Windowsi värskendused lastakse välja kolmel etapil.

  • Windowsi värskenduste algne juurutuse faas, mis on välja antud 8. detsembril, 2020.

  • Teine juurutuse faas, mis eemaldab PerformTicketSignature sätted 0 , ja vajab kas 1 või 2, mis on 13 aprillil 2021.

  • Windowsi värskenduste jõustamise etapp, mis on välja antud 13. juulil 2021 või hiljem.

8. detsember 2020: algse juurutuse faas

Algne juurutuse faas algab Windows Update ' is, mis on välja antud 8. detsembril 2020 ja jätkub hilisema Windows Update ' i jõustamise faasiga. Need ja uuemad Windowsi värskendused muudavad Kerberose muudatusi. 8. detsembril 2020 värskendus sisaldab parandusi kõigi teadaolevate probleemide kohta, mis on algselt lisatud novembris 10, 2020 Väljalaske CVE-2020-17049. See värskendus lisab ka Windows Server 2008 SP2 ja Windows Server 2008 R2 toe.

See väljaanne:

  • Aadressid CVE – 2020-17049 (vaikimisi juurutamise režiimis).

  • Lisab toe PerformTicketSignature , et lubada Active Directory domeenikontrolleri serveritele kaitset. Vaikimisi pole seda väärtust olemas.

Leevendamine koosneb Windowsi värskenduste installimisest kõigis seadmetes, mis majutavad Active Directory domeenikontrolleri rolli ja kirjutuskaitstud domeenikontrollerid (RODCs) ning mis võimaldavad jõustamise režiimi.

13. aprill 2021: teise juurutuse faas

Teine juurutuse faas algab, kui Windows Update on välja antud 13 aprillil 2021. Selles etapis eemaldatakse PerformTicketSignature säte 0. Säte PerformTicketSignature0 , pärast seda, kui värskendus on installitud, on sama mõju, kui säte PerformTicketSignature1. DCs on juurutamise režiimis.

Märkused.

  • See faas pole vajalik, kui PerformTicketSignature poleks teie keskkonnas kunagi seadistatud 0 . See faas aitab veenduda, etPerformTicketSignature seadnud kliendid teisaldatakse enne jõustamise etappi 1 .

  • 13. aprillil 2021 värskendustega, mis võimaldavad PerformTicketSignature, on võimalik , et pileteid saab uuendada. See on muutuste käitumine alates aprillist 2021 Windowsi värskendustest, kui seate PerformTicketSignature1 , mis põhjustas teenuse Piletite uuendamise.

  • See värskendus eeldab, et kõik domeenikontrollerid värskendatakse 8. detsembril, 2020 värskenduste või uuemate värskendustega.

  • Pärast selle värskenduse installimist ja käsitsi või programmiliselt säte PerformTicketSignature1 või uuem, ei toetata Windows Server domeenikontrollerid ei tööta enam toetatud domeenikontrollerid. See hõlmab Windows Server 2008 ja Windows Server 2008 R2, kuid pikendatakse turvavärskendusi (ESÜD) ja Windows Server 2003.

13. juuli 2021: täitmise etapp

13. juuli 2021 vabastab üleminekud jõustamise faasi. Jõustamise etapp jõustab muudatused aadressile CVE-2020-17049. Active Directory domeenikontrollerid on nüüd võimalik jõustamise režiimi. Jõustamise režiimi minek eeldab, et kõik Active Directory domeenikontrollerid on detsembris 8, 2020 värskendus või uuem Windows Update installitud. Praegu ignoreeritakse PerformTicketSignature registrivõtme sätteid ja jõustamise režiimi ei saa alistada. 

Installijuhised

Enne selle värskenduse installimist

Enne selle värskenduse rakendamist peavad olema installitud järgmised nõutavad värskendused. Kui kasutate Windows Update ' i, pakutakse vajalikke värskendusi vastavalt vajadusele automaatselt.

  • Teil peab olema SHA-2 Update (KB4474419), mis on dateeritud 23 September, 2019 või uuem SHA-2 värskendus installitud ja taaskäivitage oma seade enne selle värskenduse rakendamist. Lisateavet SHA-2 värskenduste kohta leiate teemast 2019 SHA-2 kood, mis allkirjastab tugiteenuse nõude Windowsi ja WSUS-i kohta.

  • Windows Server 2008 R2 hoolduspaketi SP1 jaoks peab olema installitud teeninduse pinu värskendus (SSU) (KB4490628), mis on dateeritud 12 märts 2019. Pärast värskenduse KB4490628 installimist Soovitame installida uusima SSU värskenduse. Uusima SSU värskenduse kohta leiate lisateavet teemast ADV990001 | Uusim teeninduse pinu värskendused.

  • Windows Server 2008 SP2 jaoks peab teil olema installitud teeninduse pinu värskendus (SSU) (KB4493730), mis on dateeritud 9 aprillini 2019. Pärast värskenduse KB4493730 installimist Soovitame installida uusima SSU värskenduse. Uusimate SSU värskenduste kohta leiate lisateavet teemast ADV990001 | Uusim teeninduse pinu värskendused.

  • Klientidel on vaja osta laiendatud turvavärskenduse (ESÜd) asutusesisese versiooni windows Server 2008 SP2 või windows Server 2008 R2 hoolduspaketti SP1 pärast pikendatud tugi lõppes 14 jaanuaril 2020. Kliendid, kes on ESÜD ostnud, peavad KB4522133 saamise jätkamiseks järgima toiminguid. Lisateavet ESÜD ja selle kohta, milliseid väljaandeid toetatakse, leiate teemast KB4497181.

NB!Pärast vajalike värskenduste installimist peate seadme taaskäivitama.

Kõigi värskenduste installimine

Turvalisuse haavatavuse kõrvaldamiseks installige kõik Windowsi värskendused ja lubage jõustamise režiim, järgides järgmisi juhiseid.

  1. Juurutage vähemalt ühte järgmistest värskendustest vahemikus 8, 2020 ja 9, 2021 kõigi Active Directory domeenikontrollerid metsas.

  2. 12. aprillil 2021 värskendus vähemalt üks või mitu nädalat pärast juhist 1.

  3. Pärast seda, kui kõik Active Directory domeenikontrollerid on värskendatud, oodake vähemalt terve nädal , et lubada kasutajal ise (S4U2self) Kerberose teenus aeguda ja seejärel täielikku kaitset saab lubada Active Directory domeenikontrolleri jõustamise režiimi juurutamisega.

    Märkmete

    • Kui olete muutnud Kerberose teenuse Piletite aegumist vaikesätetest (vaikesäte on 7 päeva), peate ootama vähemalt päevade arvu, mis on konfigureeritud teie keskkonnas.

    • Need juhised eeldavad, et PerformTicketSignature pole teie keskkonnas kunagi seadistatud 0 . Kui PerformTicketSignature väärtuseks on seatud 0, peate teisaldama 1 , enne kui liigute 2 (jõustamise režiim), ja oodake vähemalt nädal, et lubada kasutajal ise (S4U2self) Kerberose teenus aeguda. Te ei tohiks otse üle minna, kui soovite määrata 2 (täitmise režiim).


1. juhis: Windowsi värskenduste installimine

Installige sobiv 8. detsember, 2020 Windows Update või uuem Windows Update kõigi seadmete jaoks, mis majutavad metsas Active Directory domeenikontrolleri rolli (sh kirjutuskaitstud domeenikontrollerid).

Windows Serveri toode

KB #

Värskenduse tüüp

Windows Server, versiooni 20H2 (serveri põhiinstall)

4592438

Turvavärskenduse

Windows Server, versioon 2004 (serveri tuum install)

4592438

Turvavärskenduse

Windows Server, versioon 1909 (serveri tuum install)

4592449

Turvavärskenduse

Windows Server, versioon 1903 (serveri tuum install)

4592449

Turvavärskenduse

Windows Server 2019 (serveri tuum install)

4592440

Turvavärskenduse

Windows Server 2019

4592440

Turvavärskenduse

Windows Server 2016 (serveri tuum install)

4593226

Turvavärskenduse

Windows Server 2016

4593226

Turvavärskenduse

Windows Server 2012 R2 (serveri tuum install)

4592484

Igakuine koondpakett

4592495

Ainult turve

Windows Server 2012 R2

4592484

Igakuine koondpakett

4592495

Ainult turve

Windows Server 2012 (serveri tuum install)

4592468

Igakuine koondpakett

4592497

Ainult turve

Windows Server 2012

4592468

Igakuine koondpakett

4592497

Ainult turve

Windows Server 2008 R2 hoolduspakett Service Pack 1

4592471

Igakuine koondpakett

4592503

Ainult turve

Windows Server 2008 hoolduspakett 2

4592498

Igakuine koondpakett

4592504

Ainult turve

Samm 2: Lubage jõustamise režiim

Pärast seda, kui kõik seadmed, mis majutavad Active Directory domeenikontrolleri rolli, on värskendatud, oodake vähemalt terve nädal , et lubada kõik lahendamata S4U2self Kerberose piletid aeguvad. Seejärel luba täieliku kaitse jõustamise režiimi juurutamisega. Selleks lubage jõustamise režiimi registrivõti.

Hoiatus. Kui muudate registrit registriredaktori või mõne muu meetodi abil valesti, võivad ilmneda tõsised probleemid. Need probleemid võivad nõuda opsüsteemi uuesti installimist. Microsoft ei saa garanteerida, et neid probleeme saab lahendada. Registri muutmine omal riisikol.

Märkus. Selle värskendusega lisatakse järgmine registriväärtus tugi, et võimaldada jõustamise režiimi. See registriväärtus pole loodud selle värskenduse installimisega. Peate selle registriväärtuse käsitsi lisama.

Registri alamvõti

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Väärtus

PerformTicketSignature

Andmetüüp

REG_DWORD

Andmete

1: võimaldab juurutamise režiimis. Lahendus on domeenikontrolleris lubatud, kuid Active Directory domeenikontroller ei nõua, et Kerberose teenuse piletid vastaksid lahendusele. Selle režiimiga lisatakse CVE-2020-17049 värskendatud domeenikontrollerite tugi, kuid domeenikontrollerite jaoks ei nõuta Piletite allkirjastamist. See võimaldab kombineerida algse juurutuse faasi (DCs on uuendatud detsembris algse juurutuse värskenduse) ja värskendatud domeenikontrollerid koos eksisteerima. Kõigi domeenikontrollerite puhul, mis on värskendatud ja mille juures on 1, allkirjastatakse kõik uued piletid. Selles režiimis on uued piletid märgitud uueks ametiajaks.

2: lubab jõustamise režiimi see võimaldab parandada nõutavas režiimis, kus kõik domeenid peavad olema värskendatud ja kõik Active Directory domeenikontrollerid nõuavad Kerberose Piletite allkirjastamist. Selle seadistusega peavad kõik piletid olema sisse logitud, et neid saaks lugeda kehtivaks. Selles režiimis märgitakse piletid uuesti uueks ametiajaks.

0: pole soovitatav. Keelab Kerberose teenuse piletid signatuurid ja domeenid pole kaitstud.

Oluline 0 säte ei ühildu jõustamise seadistusega 2. Ajutised autentimise tõrked võivad ilmneda juhul, kui jõustamise režiimi rakendatakse hiljem, kui domeen on seatud väärtusele 0. Soovitame klientidel enne täitmise etappi (vähemalt nädal enne täitedokumendi rakendamist) üle minna.

Vaikimisi

1 (kui registrivõtit pole määratud)

Kas Taaskäivitamine on nõutav?

Ei
Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×