VÄRSKENDATUD 20. märts 2023 – kättesaadavusjaotis
Kokkuvõte
Hajuskomponendi objektimudeli (DCOM) kaugprotokoll on protokoll rakendusobjektide eksponeerimiseks kaugprotseduurikutsete (RPC) abil. DCOM-i kasutatakse võrguseadmete tarkvarakomponentide vaheliseks suhtlemiseks. CVE-2021-26414 jaoks oli vaja DCOM-i karmistamismuudatusi. Seetõttu soovitame teil kontrollida, kas teie keskkonna kliendi- või serverirakendused, mis kasutavad DCOM-i või RPC-d, töötavad ootuspäraselt, kui karastusmuudatused on lubatud.
Märkus Soovitame tungivalt installida uusima saadaoleva turbevärskenduse. Need pakuvad täiustatud kaitset uusimate turbeohtude eest. Need pakuvad ka võimalusi, mille oleme lisanud migreerimise toetamiseks. Lisateavet ja konteksti selle kohta, kuidas me DCOM-i tugevdame, leiate teemast DCOM-i autentimise tugevnemine: mida peate teadma.
DCOM-i värskenduste esimene etapp anti välja 8. juunil 2021. Selles värskenduses on DCOM-i kõvandamine vaikimisi keelatud. Nende lubamiseks muutke registrit, nagu on kirjeldatud allpool jaotises "Registrisäte, et lubada või keelata kõvastusmuudatused". DCOM-i värskenduste teine etapp anti välja 14. juunil 2022. See muutis kõvanemise vaikimisi lubatuks, kuid säilitas võimaluse keelata muudatused registrivõtme sätete abil. DCOM-i värskenduste viimane etapp antakse välja märtsis 2023. See hoiab DCOM-i kõvastamise lubatud ja eemaldab selle keelamise võimaluse.
Ajaskaala
|
Värskenduse väljalase |
Käitumise muutus |
|
8. juuni 2021 |
1. etapi väljalase – muutuste karmistamine on vaikimisi keelatud, kuid võimaldab neid registrivõtme abil lubada. |
|
14. juuni 2022 |
2. etapi väljalase – muutuste karmistamine on vaikimisi lubatud, kuid need saab registrivõtme abil keelata. |
|
14. märts 2023 |
3. etapi väljalase – muudatuste karmistamine on vaikimisi lubatud ja neid ei saa keelata. Selleks peate lahendama kõik ühilduvusprobleemid, mis on seotud teie keskkonna karmistusmuudatuste ja rakendustega. |
DCOM-i ühilduvuse testimine
Uued DCOM-i tõrkesündmused
Selleks et aidata teil tuvastada rakendused, mis võivad pärast DCOM-i turbekõvendusmuudatuste lubamist ühilduvusprobleemidega olla, lisasime süsteemilogisse uued DCOM-i tõrkesündmused. Vaadake allolevaid tabeleid. Süsteem logib need sündmused, kui tuvastab, et DCOM-i klientrakendus proovib aktiveerida DCOM-i serverit autentimistasemega, mis on väiksem kui RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Saate serveripoolsest sündmuselogist klientseadmesse jälile saada ja kasutada rakenduse otsimiseks kliendipoolseid sündmuselogisid.
Serverisündmused – Näitab, et server võtab vastu madalama taseme taotlusi
|
Sündmuse ID |
Saada sõnum |
|---|---|
|
10036 |
"Serveripoolse autentimise taseme poliitika ei luba kasutajal %1\%2 SID-d (%3) aadressilt %4 DCOM-i serverit aktiveerida. Tõstke aktiveerimise autentimistase klientrakenduses vähemalt RPC_C_AUTHN_LEVEL_PKT_INTEGRITY." (%1 – domeen, %2 – kasutajanimi, %3 – kasutaja SID, %4 – kliendi IP-aadress) |
Kliendisündmused – näitab, milline rakendus saadab madalama taseme taotlusi
|
Sündmuse ID |
Saada sõnum |
|---|---|
|
10037 |
"Rakendus %1 koos PID-ga %2 taotleb CLSID %3 aktiveerimist arvutis %4, kui autentimistase on konkreetselt määratud asukohas %5. DCOM-i nõutav madalaim aktiveerimise autentimistase on 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aktiveerimise autentimistaseme tõstmiseks pöörduge rakenduse tarnija poole." |
|
10038 |
"Rakendus %1 koos PID-ga %2 taotleb CLSID %3 aktiveerimist arvutis %4, kus aktiveerimise vaikeautentimise tase on %5. DCOM-i nõutav madalaim aktiveerimise autentimistase on 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aktiveerimise autentimistaseme tõstmiseks pöörduge rakenduse tarnija poole." (%1 – rakenduse tee, %2 – rakenduse PID, %3 – COM-klassi CLSID, mida rakendus taotleb aktiveerida, %4 – arvuti nimi, %5 – autentimistaseme väärtus) |
Kättesaadavus
Need tõrkesündmused on saadaval ainult Windowsi versioonide alamhulga jaoks. vaadake allolevat tabelit.
|
Windowsi versioon |
Saadaval nendel kuupäevadel või hiljem |
|---|---|
|
Windows Server 2022 |
27. september 2021 |
|
Windows 10, versioon 2004, Windows 10, versioon 20H2, Windows 10, versioon 21H1 |
1. september 2021 |
|
Windows 10, versioon 1909 |
26. august 2021 |
|
Windows Server 2019, Windows 10, versioon 1809 |
26. august 2021 |
|
Windows Server 2016, Windows 10, versioon 1607 |
14. september 2021 |
|
Windows Server 2012 R2 ja Windows 8.1 |
12. oktoober 2021 |
|
Windows 11, versioon 22H2 |
30. september 2022 |
Kliendipoolne taotluse automaatne kõrguse paikamine
Kõigi mitte anonüümse aktiveerimistaotluste autentimistase
Rakenduste ühilduvusprobleemide vähendamiseks tõstsime automaatselt kõigi Windowsi-põhiste DCOM-i klientrakenduste mitte anonüümse aktiveerimise taotluste autentimistaseme vähemalt RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Selle muudatusega aktsepteeritakse enamik Windowsi-põhisi DCOM-i klienditaotlusi automaatselt DCOM-i kõvastusmuudatustega, mis on serveri poolel lubatud, ilma DCOM-i klienti täiendavalt muutmata. Lisaks töötab enamik Windows DCOM-i kliente automaatselt DCOM-i serveripoolsete muutustega ilma DCOM-i klienti täiendavalt muutmata.
Märkus See paik kaasatakse jätkuvalt koondvärskendustesse.
Paikamise värskendamise ajaskaala
Alates algsest väljalaskest novembris 2022, on automaatse ülemamise paigal olnud mõned värskendused.
-
2022. aasta novembri värskendus
-
See värskendus tõstis aktiveerimise autentimistaseme automaatselt paketi tervikluseks. Windows Server 2016 ja Windows Server 2019 on see muudatus vaikimisi keelatud.
-
-
2022. aasta detsembri värskendus
-
Novembri muudatus lubati Windows Server 2016 ja Windows Server 2019 jaoks vaikimisi.
-
See värskendus lahendas ka probleemi, mis mõjutas anonüümse aktiveerimise Windows Server 2016 ja Windows Server 2019.
-
-
2023. aasta jaanuari värskendus
-
See värskendus lahendas probleemi, mis mõjutas anonüümse aktiveerimise platvormidel Windows Server 2008 kuni Windows 10 (algversioon anti välja 2015. aasta juulis).
-
Kui olete oma klientrakendustesse ja serveritesse installinud kumulatiivsed turbevärskendused 2023. aasta jaanuari seisuga, on neil uusim automaatse ülemamise paik täielikult lubatud.
Registrisäte karastusmuudatuste lubamiseks või keelamiseks
Ajaskaala etappides, kus saate CVE-2021-26414 karastusmuudatused lubada või keelata, saate kasutada järgmist registrivõtit.
-
Tee: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Väärtuse nimi: "RequireIntegrityActivationAuthenticationLevel"
-
Tüüp: dword
-
Väärtuseandmed: vaikeväärtus= 0x00000000 tähendab keelatud. 0x00000001 tähendab lubamist. Kui seda väärtust pole määratletud, lubatakse see vaikimisi.
Märkus Väärtuseandmed tuleb sisestada kuueteistkümnendvormingus.
Tähtis Pärast registrivõtme määramist peate seadme taaskäivitama, et see jõustuks.
Märkus Ülaltoodud registrivõtme lubamisel jõustavad DCOM-serverid aktiveerimiseks RPC_C_AUTHN_LEVEL_PKT_INTEGRITY või uuema Authentication-Level . See ei mõjuta anonüümset aktiveerimist (aktiveerimine autentimistasemega RPC_C_AUTHN_LEVEL_NONE). Kui DCOM-i server lubab anonüümse aktiveerimise, on see lubatud isegi siis, kui DCOM-i kõvastusmuudatused on lubatud.
Märkus Seda registriväärtust pole vaikimisi olemas; peate selle looma. Windows loeb selle ette, kui see on olemas ja ei kirjuta seda üle.
Märkus Hilisemate värskenduste installimine ei muuda ega eemalda olemasolevaid registrikirjeid ja sätteid.
