TÄRKEÄÄ Tässä artikkelissa mainittu pakotustila on muuttunut 9. maaliskuuta 2021. |
Yhteenveto
Jos käytät suojattuja käyttäjiä ja resurssipohjaisia rajoitettuja delegointeja (RBCD), Active Directory -toimialueen ohjauskoneissa voi olla tietoturvaheikkous. Lisätietoja suojausheikkoudesta on kohdassa CVE-2020-16996.
Toimi Jos haluat suojata ympäristön ja estää käyttökoosteet, sinun on tehtävä seuraavat toimet:
|
Päivitysten ajoitus
Nämä Windows päivitykset julkaistaan kahdessa vaiheessa:
-
Ensimmäisen käyttöönoton vaihe päivitysten Windows 8. joulukuuta 2020 tai sen jälkeen.
-
Päivitysten pakotusvaihe Windows 9. maaliskuuta 2021 tai sen jälkeen.
8. joulukuuta 2020: käyttöönoton alkuvaihe
Käyttöönoton alkuvaihe alkaa 8. Windows 8. joulukuuta 2020 julkaistusta päivityksestä, ja se jatkuu myöhemmin julkaistulla Windows pakotusvaiheen päivityksellä. Nämä ja uudemmat Windows tekevät muutoksia Kerberos-versioon.
Tämä julkaisu:
-
Osoitteet CVE-2020-16996 (oletusarvoisesti poissa käytöstä).
-
Lisää NonForwardableDelegation-rekisteriarvon tuen Active Directory -toimialueen ohjauspalvelimien suojauksen mahdollistamiseksi. Oletusarvon mukaan arvoa ei ole olemassa.
Riskien lieventäminen koostuu Windows-päivitysten asentamisesta kaikkiin laitteisiin, jotka isännöivät Active Directory -toimialueen ohjauskoneen roolia ja vain luku -tilassa olevat toimialueen ohjauskoneeseen (TTT) ja ottamalla sitten käyttöön pakotustilan.
9. maaliskuuta 2021: Pakotusvaihe
9. maaliskuuta 2021 -julkaisusiirtymät pakotusvaiheeseen. Pakotusvaihe pakottaa muutokset osoitteeseen CVE-2020-16996. Active Directory -toimialueen ohjauskoneet ovat nyt pakotustilassa, ellei pakotustilan rekisteriavaimen arvoksi ole määritetty 1 (Poissa käytöstä). Jos pakotustilan rekisteriavain on määritetty, asetus otetaan käyttöön. Pakotustilaan meneminen edellyttää, että kaikkiin Active Directory -toimialueen ohjauskoneeseen on asennettu päivitys 8. joulukuuta 2020 tai uudempi.
Asennusohjeet
Ennen tämän päivityksen asentamista
Seuraavat pakolliset päivitykset on asennettava, ennen kuin voit ottaa tämän päivityksen käyttöön. Jos käytät Windows päivitystä, nämä pakolliset päivitykset tarjotaan automaattisesti tarpeen mukaan.
-
SHA-2-päivitys (KB4474419), joka on päivätty 23. syyskuuta 2019 tai uudempi SHA-2-päivitys, on oltava asennettuna ja laite on käynnistettävä uudelleen, ennen kuin otat tämän päivityksen käyttöön. Lisätietoja SHA-2-päivityksistä on 2019 SHA-2-koodin allekirjoitustuen vaatimuksessa Windows WSUS:lle.
-
Windows Server 2008 R2 SP1:ssä on asennettava SSU (servicing stack update)(KB4490628), joka on päivätty 12. maaliskuuta 2019. Päivityksen KB4490628 asentamisen jälkeen on suositeltavaa asentaa uusin SSU-päivitys. Lisätietoja uusimmasta SSU-päivityksestä on adv990001-| Uusimmat ylläpitopinopäivitykset.
-
Windows Server 2008 SP2:ssa on asennettava SSU (servicing stack update)(KB4493730),joka on päivätty 9. huhtikuuta 2019. Päivityksen KB4493730 asentamisen jälkeen on suositeltavaa asentaa uusin SSU-päivitys. Lisätietoja uusimmista SSU-päivityksistä on adv990001-| Uusimmat ylläpitopinopäivitykset.
-
Asiakkaiden on hankittava Extended Security Update (ESU) Windows Server 2008 SP2:n tai Windows Server 2008 R2 SP1:n paikallisille versioille extended-tuen päätyttyä 14. tammikuuta 2020. Asiakkaiden, jotka ovat ostaneet ESU:n, on noudatettava ARTIKKELISSA KB4522133 annettuja ohjeita, jotta he voivat jatkaa suojauspäivitysten vastaanottamista. Lisätietoja ESU:sta ja tuetuista versioista on artikkelissa KB4497181.
TärkeääSinun on käynnistettävä laite uudelleen, kun olet asentanut tarvittavat päivitykset.
Asenna päivitys
Voit ratkaista suojausheikkouden asentamalla Windows ja seuraavilla ohjeilla pakotustilan käyttöön.
Varoitus Ajoittainen todennus voi ilmetä, jos Windows päivittyy ja rekisteriarvoa käytetään johdonmukaisesti yhdessä tai molemmissa seuraavista skenaarioista:
Tärkeää Sekä Windows että rekisteriarvo on otettava yhdenmukaisesti käyttöön ympäristösi KAIKISSA Active Directory -toimialueen ohjauskoneissa. |
Vaihe 1: Windows asentaminen
Asenna 8. joulukuuta 2020 Windows päivitys tai uudempi Windows päivitä kaikkiin laitteisiin, joissa on Active Directory -toimialueen ohjauskonerooli toimialuepuurooli, mukaan lukien vain luku -toimialueen ohjauskoneet.
Windows Server -tuote |
kt # |
Päivityksen tyyppi |
Windows Server, versio 20H2 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server, versio 2004 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server, versio 1909 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server, versio 1903 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server 2019 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server 2019 |
Suojauspäivitys |
|
Windows Server 2016 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server 2016 |
Suojauspäivitys |
|
Windows Server 2012 R2 (Server Core -asennus) |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2012 R2 |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2012 (Server Core -asennus) |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2012 |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2008 R2 Service Pack 1 |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2008 Service Pack 2 |
Kuukausittainen koonti |
|
Vain suojaus |
Vaihe 2: Pakotustilan ottaminen käyttöön
Kun kaikki laitteet, joissa on Active Directory -toimialueen ohjauskonerooli, on päivitetty, odota vähintään koko päivä, jotta kaikki avoimet Palvelu käyttäjän Self (S4U2self) Kerberos-palveluliput vanhenevat. Ota sitten täysi suojaus käyttöön ottamalla pakotustila käyttöön. Ota pakotustilan rekisteriavain käyttöön.
Varoitus Rekisterin virheellinen muokkaaminen Rekisterieditorin tai muun menetelmän avulla voi aiheuttaa vakavia ongelmia. Nämä ongelmat saattavat edellyttää käyttöjärjestelmän asentamista uudelleen. Microsoft ei voi taata, että nämä ongelmat voidaan ratkaista. Muokkaat rekisteriä omalla vastuullasi.
Huomautus Tätä rekisteriarvoa ei luoda asentamalla tämä päivitys. Tämä rekisteriarvo on lisättävä manuaalisesti.
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Arvo |
NonForwardableDelegation |
Tietotyyppi |
REG_DWORD |
Tiedot |
1:Poistaa käytöstä pakotustilan. 0: Ottaa käyttöön pakotustilan. Tämä on suojattu tila. |
Oletus |
1 |
Vaaditaanko uudelleenkäynnistys? |
Ei |
Huomautuksia"NonForwardableDelegation"-rekisteriarvosta:
-
Jos rekisteriarvo on määritetty, se on etusijalla 9. maaliskuuta 2021 -päivitysten pakotustilan Windows.
-
Jos rekisteriarvona on 1 (Poista käytöstä), edelleenlähetys sallitaan Kerberos-palvelulipuissa, joita EI ole merkitty edelleenlähetyskelpoisiksi.
-
Jos rekisteriarvona on 0 (Ota käyttöön), edelleenlähetysTÄ EI sallita Kerberos-palvelulipuissa, joita EI ole merkitty edelleenlähetyskelpoisiksi.
-
-
Jos toimialueesi sisältää Windows Server 2008 R2:n tai aiemmat Active Directory -toimialueen ohjauskoneet, sinun ei tarvitse määrittää pakotustilaa, koska nämä toimialueen ohjauskoneet eivät tue RBCD:tä.
-
Jos active directory -toimialueen ohjauskovoja ei päivitetä johdonmukaisesti pakotustilan käyttöönottoon, palvelun delegointi epäonnistuu ajoittain.
-
Ennen kuin määrität pakotustilan:
-
Kaikki Active Directory -toimialueen ohjauskoneeseen on päivitettävä 8. joulukuuta 2020 Windows tai uudemman päivityksen Windows ja
-
Kaikkien avointen S4USelf Kerberos -palvelulippujen on oltava vanhentuneet, koska ne ovat vanhentuneet, Windows päivityksen käyttöönoton jälkeen kaikkiin Active Directory -toimialueen ohjauskoneeseen.
-
Huomioon otettavia seikkoja
Kun tämä suojaus on käytössä, se Resource-Based rajoitettu delegointi (RBCD) logiikan alkuperäiseen rajoitettuun delegointiin. Tämä voi aiheuttaa ongelmia kahdessa seuraavassa tilanteessa:
-
Yhdessä palvelussa käytetään samanaikaisesti alkuperäistä Kerberos Constrained Delegation (KCD) -delegointia ilman protokollan siirtymää yhteen kohteeseen, kun se käyttää RBCD:tä ja protokollan siirtymää toiseen. Tämän muutoksen jälkeen protokollanestosiirtymä koskee kumpaakin delegointityyliä.
-
RBCD:tä käytetään toimialueissa, joissa käytetään toimialueen ohjauskoneiden ohjaimia, joita ei ole päivitetty CVE-2020-16996:lla tai jotka käyttävät Windows Serverin vanhempia versioita (vanhempi kuin Windows Server 2012), joilla ei ole saatavilla CVE-2020-16996 -päivitystä. Ne KDCS-keskukset, joita ei ole päivitetty, eivät merkitse S4USelf Kerberos -palvelulippuja, sillä delegointi ja protokollan siirtäminen estetään.