KB5004605: värskendus lisab CVE-2021-33757 MS-SAMR-protokollile AES-i krüptimiskaitsed.

• Parooli muutmise muster

  Värskendused muudavad protokolli parooli muutmise mustrit, lisades uue parooli muutmise meetodi, mis kasutab AES-i.

  Vana meetod RC4-ga	Uus meetod AES-iga
  SamrUnicodeChangePasswordUser2 (OpNum 55)	SamrUnicodeChangePasswordUser4 (OpNum 73)

  MS-SAMR OpNumsi täieliku loendi leiate teemast Sõnumite töötlemise sündmused ja järjestamisreeglid.

• Paroolikomplekti muster

  Värskendused muudavad protokolli paroolikomplekti mustrit,lisades SamrSetInformationUser2 (Opnum 58) meetodile kaks uut kasutajateabe klassi. Parooliteabe saate määrata järgmiselt.

  Vana meetod RC4-ga	Uus meetod AES-iga
  SamrSetInformationUser2 (Opnum 58) koos kasutajaga UserInternal4InformationNew, millel on krüptitud kasutajaparool RC4-ga.	SamrSetInformationUser2 (Opnum 58) koos kasutajaga UserInternal8Information, millel on krüptitud kasutajaparool AES-iga.
  SamrSetInformationUser2 (Opnum 58) koos kasutajaga UserInternal5InformationNew, mis sisaldab krüptitud kasutajaparooli RC4 ja kõigi muude kasutajaatribuutide abil.	SamrSetInformationUser2 (Opnum 58) koos kasutajaga UserInternal7Information, mis sisaldab krüptitud parooli AES-i ja kõigi muude kasutajaatribuutide abil.

Olemasolevat SamrConnect5 meetodit kasutatakse tavaliselt SAM-i kliendi ja serveri vahelise ühenduse loomiseks.

Värskendatud server tagastab nüüd uue biti SamrConnect5() vastuses, nagu on määratletud SAMPR_REVISION_INFO_V1. 

Väärtus	Tähendus
0x00000010	Kui klient saab selle väärtuse kätte, näitab see väärtus, kui see on määratud, et klient peaks kasutama AES-krüptimist SAMPR_ENCRYPTED_PASSWORD_AES struktuuris, et krüptida paroolipuhvrid, kui see saadetakse üle juhtme. Vt AES cipher Usage (punkt 3.2.2.4)SAMPR_ENCRYPTED_PASSWORD_AES (punkt 2.2.6.32).

Kui värskendatud server toetab AES-i, kasutab klient paroolitoimingute jaoks uusi meetodeid ja uusi teabeklasse. Kui server ei tagasta seda lippu või kui klienti ei värskendata, kasutab klient RC4-krüptimisega varasemaid meetodeid.

Paroolikomplekti toimingute jaoks on vaja kirjutatavat domeenikontrollerit (RWDC). Paroolimuudatused edastab kirjutuskaitstud domeenikontroller (RODC) RWDC-le. AES-i kasutatavad seadmed peavad olema värskendatud. Näiteks:

• Kui klientrakendust, RODC-i või RWDC-d ei värskendata, kasutatakse RC4-krüptimist.

• Kui klientrakendust, RODC-i ja RWDC-d värskendatakse, kasutatakse AES-krüptimist.

13. juulil 2021 tehtud värskendustega lisatakse süsteemilogisse neli uut sündmust, mis aitavad tuvastada seadmeid, mida ei värskendata ja mis aitavad turvalisust parandada.

• Konfiguratsiooni olek Sündmuse ID 16982 või 16983 logitakse käivitamisel või registri konfiguratsiooni muutmisel.
  
  Sündmuse ID 16982

  Sündmuselogi	Süsteem
  Sündmuse allikas	Directory-Services-SAM
  Sündmuse ID	16982
  Tase	Teave
  Sündmusesõnumi tekst	Turbekonto haldur logib nüüd kaugklientide jaoks paljusõnaliseid sündmusi, mis nimetavad pärandparooli muudatusi või seavad RPC-meetodeid. See säte võib põhjustada suurt hulka sõnumeid ja seda tuleks probleemide diagnoosimiseks kasutada ainult lühikese aja jooksul.

  
  Sündmuse ID 16983

  Sündmuselogi	Süsteem
  Sündmuse allikas	Directory-Services-SAM
  Sündmuse ID	16983
  Tase	Teave
  Sündmusesõnumi tekst	Turbekonto haldur logib nüüd kaugklientide jaoks perioodilisi kokkuvõttesündmusi, mis nimetavad pärandparooli muudatusi või seavad RPC-meetodeid.

• Pärast 13. juuli 2021 värskenduse rakendamist logitakse süsteemi sündmuselogisse iga 60 minuti järel kokkuvõtva sündmuse 16984.
  
  Sündmuse ID 16984

  Sündmuselogi	Süsteem
  Sündmuse allikas	Directory-Services-SAM
  Sündmuse ID	16984
  Tase	Teave
  Sündmusesõnumi tekst	Turbekonto haldur tuvastas viimase 60 minuti jooksul %x pärandparooli muudatuse või määras RPC-meetodi kõned.

• Pärast tegusõnalise sündmuse logimise konfigureerimist logitakse sündmuse ID 16985 süsteemisündmuste logisse iga kord, kui konto parooli muutmiseks või häälestamiseks kasutatakse pärand-RPC-meetodit.
  
  Sündmuse ID 16985

  Sündmuselogi	Süsteem
  Sündmuse allikas	Directory-Services-SAM
  Sündmuse ID	16985
  Tase	Teave
  Sündmusesõnumi tekst	Turbekonto haldur tuvastas pärandmuutuse kasutamise või määras võrgukliendilt RPC-meetodi. Kaaluge kliendi opsüsteemi või rakenduse täiendamist, et kasutada selle meetodi uusimat ja turvalisemat versiooni. Üksikasjad: RPC-meetod: %1 Klientvõrgu aadress: %2 Kliendi SID:% 3 Kasutajanimi: %4

  Sündmuse ID 16985 logimiseks lülitage serveris või domeenikontrolleris sisse järgmine registriväärtus.

  Tee	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
  Tüüp	REG_DWORD
  Väärtuse nimi	AuditLegacyPasswordRpcMethods
  Väärtuse andmed	1 = verbose logimine on lubatud  0 või mitte = verbose logimine on keelatud. Ainult kokkuvõttesündmused. (Vaikesäte)

Nagu on kirjeldatud samrUnicodeChangePasswordUser4 (Opnum 73), kasutavad klient ja server uue SamrUnicodeChangePasswordUser4 meetodi kasutamisel PBKDF2 algoritmi vanast lihttekstist krüptimis- ja dekrüptimisvõtme tuletamiseks. Põhjus on selles, et vana parool on ainus levinud saladus, mis on teada nii serverile kui ka kliendile.  

PBKDF2 kohta leiate lisateavet teemast Funktsioon BCryptDeriveKeyPBKDF2 (bcrypt.h).

Kui peate jõudluse ja turbega seotud põhjustel muudatusi tegema, saate muuta PBKDF2 iteratsioonide arvu, mida klient kasutab parooli muutmiseks, määrates kliendi jaoks järgmise registriväärtuse.

Tee	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Tüüp	REG_DWORD
Väärtuse nimi	PBKDF2Iterations
Väärtuse andmed	Miinimum 5000 kuni maksimaalselt 1000 000
Vaikeväärtus	10,000

Lisateavet leiate teemast SMB seansivõtme soetamine.

Versiooni alandamine toimub siis, kui server või klient ei toeta AES-i.   

Värskendatud serverid logivad sündmused, kui kasutatakse pärandmeetodeid RC4-ga. 

Praegu pole jõustamisrežiim saadaval, kuid see võib tulevikus olemas olla. Meil pole kuupäeva. 

Kui kolmanda osapoole seade ei kasuta SAMR-protokolli, pole see oluline. Kolmanda osapoole tarnijad, kes juurutavad MS-SAMR-protokolli, võivad selle rakendada. Küsimuste korral pöörduge kolmanda osapoole tarnija poole. 

Täiendavaid muudatusi pole vaja teha.  

See protokoll on pärand ja eeldame, et selle kasutamine on väga väike. Pärandrakendused võivad kasutada neid API-sid. Lisaks kasutavad mõned Active Directory tööriistad (nt AD users ja Computers MMC) SAMR-i.

Ei. See mõjutab ainult neid kindlaid SAMR-i API-sid kasutavad paroolimuudatused.

Jah. PBKDF2 on kallim kui RC4. Kui samrUnicodeChangePasswordUser4 API-d kutsuva domeenikontroller teeb samal ajal palju paroolimuudatusi, võib see mõjutada LSASS-i protsessorikoormust. Vajadusel saate PBKDF2 iteratsioone klientide jaoks häälestada, kuid me ei soovita vaikimisi vähendada, kuna see vähendaks turvalisust.