NB!: Varem selles artiklis märgitud Väljalaske kuupäevad on muutunud. Pange tähele, et uued Väljalaske kuupäevad on nende Windowsi värskenduste jaotises "toimingute tegemine" ja "ajastus".
Kokkuvõte
Turvafunktsioon ümbersõit haavatavus on olemas nii, nagu võti levituse keskus (KDC) määrab, kas Kerberose teenuse piletit saab kasutada delegeerimiseks Kerberose piiratud delegeerimine (KCD). Haavatavuse ärakasutamiseks võib ohustatud teenus, mis on konfigureeritud kasutama KCD, manipuleerida Kerberose teenusega, mis ei kehti volitatud esindaja kinnitamiseks. Need Windowsi värskendused lahendavad selle haavatavuse, muutes seda, kuidas KDC valideerib KCD kasutatavaid Kerberose teenusega seotud pileteid.
Lisateavet selle haavatavuse kohta leiate teemast CVE-2020-17049.
Toimingu tegemine Keskkonna kaitsmiseks ja katkestuste ärahoidmiseks peate järgima kõiki järgmisi juhiseid.
|
Nende Windowsi värskenduste ajastus
Need Windowsi värskendused lastakse välja kolmel etapil.
-
Windowsi värskenduste algne juurutuse faas, mis on välja antud 8. detsembril, 2020.
-
Teine juurutuse faas, mis eemaldab PerformTicketSignature sätted 0 , ja vajab kas 1 või 2, mis on 13 aprillil 2021.
-
Windowsi värskenduste jõustamise etapp, mis on välja antud 13. juulil 2021 või hiljem.
8. detsember 2020: algse juurutuse faas
Algne juurutuse faas algab Windows Update ' is, mis on välja antud 8. detsembril 2020 ja jätkub hilisema Windows Update ' i jõustamise faasiga. Need ja uuemad Windowsi värskendused muudavad Kerberose muudatusi. 8. detsembril 2020 värskendus sisaldab parandusi kõigi teadaolevate probleemide kohta, mis on algselt lisatud novembris 10, 2020 Väljalaske CVE-2020-17049. See värskendus lisab ka Windows Server 2008 SP2 ja Windows Server 2008 R2 toe.
See väljaanne:
-
Aadressid CVE – 2020-17049 (vaikimisi juurutamise režiimis).
-
Lisab toe PerformTicketSignature , et lubada Active Directory domeenikontrolleri serveritele kaitset. Vaikimisi pole seda väärtust olemas.
Leevendamine koosneb Windowsi värskenduste installimisest kõigis seadmetes, mis majutavad Active Directory domeenikontrolleri rolli ja kirjutuskaitstud domeenikontrollerid (RODCs) ning mis võimaldavad jõustamise režiimi.
13. aprill 2021: teise juurutuse faas
Teine juurutuse faas algab, kui Windows Update on välja antud 13 aprillil 2021. Selles etapis eemaldatakse PerformTicketSignature säte 0. Säte PerformTicketSignature0 , pärast seda, kui värskendus on installitud, on sama mõju, kui säte PerformTicketSignature1. DCs on juurutamise režiimis.
Märkused.
-
See faas pole vajalik, kui PerformTicketSignature poleks teie keskkonnas kunagi seadistatud 0 . See faas aitab veenduda, etPerformTicketSignature seadnud kliendid teisaldatakse enne jõustamise etappi 1 .
-
13. aprillil 2021 värskendustega, mis võimaldavad PerformTicketSignature, on võimalik , et pileteid saab uuendada. See on muutuste käitumine alates aprillist 2021 Windowsi värskendustest, kui seate PerformTicketSignature1 , mis põhjustas teenuse Piletite uuendamise.
-
See värskendus eeldab, et kõik domeenikontrollerid värskendatakse 8. detsembril, 2020 värskenduste või uuemate värskendustega.
-
Pärast selle värskenduse installimist ja käsitsi või programmiliselt säte PerformTicketSignature1 või uuem, ei toetata Windows Server domeenikontrollerid ei tööta enam toetatud domeenikontrollerid. See hõlmab Windows Server 2008 ja Windows Server 2008 R2, kuid pikendatakse turvavärskendusi (ESÜD) ja Windows Server 2003.
13. juuli 2021: täitmise etapp
13. juuli 2021 vabastab üleminekud jõustamise faasi. Jõustamise etapp jõustab muudatused aadressile CVE-2020-17049. Active Directory domeenikontrollerid on nüüd võimalik jõustamise režiimi. Jõustamise režiimi minek eeldab, et kõik Active Directory domeenikontrollerid on detsembris 8, 2020 värskendus või uuem Windows Update installitud. Praegu ignoreeritakse PerformTicketSignature registrivõtme sätteid ja jõustamise režiimi ei saa alistada.
Installijuhised
Enne selle värskenduse installimist
Enne selle värskenduse rakendamist peavad olema installitud järgmised nõutavad värskendused. Kui kasutate Windows Update ' i, pakutakse vajalikke värskendusi vastavalt vajadusele automaatselt.
-
Teil peab olema SHA-2 Update (KB4474419), mis on dateeritud 23 September, 2019 või uuem SHA-2 värskendus installitud ja taaskäivitage oma seade enne selle värskenduse rakendamist. Lisateavet SHA-2 värskenduste kohta leiate teemast 2019 SHA-2 kood, mis allkirjastab tugiteenuse nõude Windowsi ja WSUS-i kohta.
-
Windows Server 2008 R2 hoolduspaketi SP1 jaoks peab olema installitud teeninduse pinu värskendus (SSU) (KB4490628), mis on dateeritud 12 märts 2019. Pärast värskenduse KB4490628 installimist Soovitame installida uusima SSU värskenduse. Uusima SSU värskenduse kohta leiate lisateavet teemast ADV990001 | Uusim teeninduse pinu värskendused.
-
Windows Server 2008 SP2 jaoks peab teil olema installitud teeninduse pinu värskendus (SSU) (KB4493730), mis on dateeritud 9 aprillini 2019. Pärast värskenduse KB4493730 installimist Soovitame installida uusima SSU värskenduse. Uusimate SSU värskenduste kohta leiate lisateavet teemast ADV990001 | Uusim teeninduse pinu värskendused.
-
Klientidel on vaja osta laiendatud turvavärskenduse (ESÜd) asutusesisese versiooni windows Server 2008 SP2 või windows Server 2008 R2 hoolduspaketti SP1 pärast pikendatud tugi lõppes 14 jaanuaril 2020. Kliendid, kes on ESÜD ostnud, peavad KB4522133 saamise jätkamiseks järgima toiminguid. Lisateavet ESÜD ja selle kohta, milliseid väljaandeid toetatakse, leiate teemast KB4497181.
NB!Pärast vajalike värskenduste installimist peate seadme taaskäivitama.
Kõigi värskenduste installimine
Turvalisuse haavatavuse kõrvaldamiseks installige kõik Windowsi värskendused ja lubage jõustamise režiim, järgides järgmisi juhiseid.
-
Juurutage vähemalt ühte järgmistest värskendustest vahemikus 8, 2020 ja 9, 2021 kõigi Active Directory domeenikontrollerid metsas.
-
12. aprillil 2021 värskendus vähemalt üks või mitu nädalat pärast juhist 1.
-
Pärast seda, kui kõik Active Directory domeenikontrollerid on värskendatud, oodake vähemalt terve nädal , et lubada kasutajal ise (S4U2self) Kerberose teenus aeguda ja seejärel täielikku kaitset saab lubada Active Directory domeenikontrolleri jõustamise režiimi juurutamisega.
Märkmete-
Kui olete muutnud Kerberose teenuse Piletite aegumist vaikesätetest (vaikesäte on 7 päeva), peate ootama vähemalt päevade arvu, mis on konfigureeritud teie keskkonnas.
-
Need juhised eeldavad, et PerformTicketSignature pole teie keskkonnas kunagi seadistatud 0 . Kui PerformTicketSignature väärtuseks on seatud 0, peate teisaldama 1 , enne kui liigute 2 (jõustamise režiim), ja oodake vähemalt nädal, et lubada kasutajal ise (S4U2self) Kerberose teenus aeguda. Te ei tohiks otse üle minna, kui soovite määrata 2 (täitmise režiim).
-
1. juhis: Windowsi värskenduste installimine
Installige sobiv 8. detsember, 2020 Windows Update või uuem Windows Update kõigi seadmete jaoks, mis majutavad metsas Active Directory domeenikontrolleri rolli (sh kirjutuskaitstud domeenikontrollerid).
Windows Serveri toode |
KB # |
Värskenduse tüüp |
Windows Server, versiooni 20H2 (serveri põhiinstall) |
Turvavärskenduse |
|
Windows Server, versioon 2004 (serveri tuum install) |
Turvavärskenduse |
|
Windows Server, versioon 1909 (serveri tuum install) |
Turvavärskenduse |
|
Windows Server, versioon 1903 (serveri tuum install) |
Turvavärskenduse |
|
Windows Server 2019 (serveri tuum install) |
Turvavärskenduse |
|
Windows Server 2019 |
Turvavärskenduse |
|
Windows Server 2016 (serveri tuum install) |
Turvavärskenduse |
|
Windows Server 2016 |
Turvavärskenduse |
|
Windows Server 2012 R2 (serveri tuum install) |
Igakuine koondpakett |
|
Ainult turve |
||
Windows Server 2012 R2 |
Igakuine koondpakett |
|
Ainult turve |
||
Windows Server 2012 (serveri tuum install) |
Igakuine koondpakett |
|
Ainult turve |
||
Windows Server 2012 |
Igakuine koondpakett |
|
Ainult turve |
||
Windows Server 2008 R2 hoolduspakett Service Pack 1 |
Igakuine koondpakett |
|
Ainult turve |
||
Windows Server 2008 hoolduspakett 2 |
Igakuine koondpakett |
|
Ainult turve |
Samm 2: Lubage jõustamise režiim
Pärast seda, kui kõik seadmed, mis majutavad Active Directory domeenikontrolleri rolli, on värskendatud, oodake vähemalt terve nädal , et lubada kõik lahendamata S4U2self Kerberose piletid aeguvad. Seejärel luba täieliku kaitse jõustamise režiimi juurutamisega. Selleks lubage jõustamise režiimi registrivõti.
Hoiatus. Kui muudate registrit registriredaktori või mõne muu meetodi abil valesti, võivad ilmneda tõsised probleemid. Need probleemid võivad nõuda opsüsteemi uuesti installimist. Microsoft ei saa garanteerida, et neid probleeme saab lahendada. Registri muutmine omal riisikol.
Märkus. Selle värskendusega lisatakse järgmine registriväärtus tugi, et võimaldada jõustamise režiimi. See registriväärtus pole loodud selle värskenduse installimisega. Peate selle registriväärtuse käsitsi lisama.
Registri alamvõti |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Väärtus |
PerformTicketSignature |
Andmetüüp |
REG_DWORD |
Andmete |
1: võimaldab juurutamise režiimis. Lahendus on domeenikontrolleris lubatud, kuid Active Directory domeenikontroller ei nõua, et Kerberose teenuse piletid vastaksid lahendusele. Selle režiimiga lisatakse CVE-2020-17049 värskendatud domeenikontrollerite tugi, kuid domeenikontrollerite jaoks ei nõuta Piletite allkirjastamist. See võimaldab kombineerida algse juurutuse faasi (DCs on uuendatud detsembris algse juurutuse värskenduse) ja värskendatud domeenikontrollerid koos eksisteerima. Kõigi domeenikontrollerite puhul, mis on värskendatud ja mille juures on 1, allkirjastatakse kõik uued piletid. Selles režiimis on uued piletid märgitud uueks ametiajaks. 2: lubab jõustamise režiimi see võimaldab parandada nõutavas režiimis, kus kõik domeenid peavad olema värskendatud ja kõik Active Directory domeenikontrollerid nõuavad Kerberose Piletite allkirjastamist. Selle seadistusega peavad kõik piletid olema sisse logitud, et neid saaks lugeda kehtivaks. Selles režiimis märgitakse piletid uuesti uueks ametiajaks. 0: pole soovitatav. Keelab Kerberose teenuse piletid signatuurid ja domeenid pole kaitstud. Oluline 0 säte ei ühildu jõustamise seadistusega 2. Ajutised autentimise tõrked võivad ilmneda juhul, kui jõustamise režiimi rakendatakse hiljem, kui domeen on seatud väärtusele 0. Soovitame klientidel enne täitmise etappi (vähemalt nädal enne täitedokumendi rakendamist) üle minna. |
Vaikimisi |
1 (kui registrivõtit pole määratud) |
Kas Taaskäivitamine on nõutav? |
Ei |