TÄRKEÄÄ Tässä artikkelissa mainittu pakotustila on muuttunut 9. maaliskuuta 2021. 

Yhteenveto

Jos käytät suojattuja käyttäjiä ja resurssipohjaisia rajoitettuja delegointeja (RBCD), Active Directory -toimialueen ohjauskoneissa voi olla tietoturvaheikkous. Lisätietoja suojausheikkoudesta on kohdassa CVE-2020-16996.

Toimi

Jos haluat suojata ympäristön ja estää käyttökoosteet, sinun on tehtävä seuraavat toimet:

  1. Päivitä kaikki laitteet, joissa on Active Directory -toimialueen ohjauskoneen rooli, asentamalla 8. joulukuuta 2020 Windows tai uudemman Windows päivityksen. Huomaa, että Windows asentaminen ei täysin lieventä suojausheikkoutta. Sinun on suoritettava vaihe 2.

  2. Ota pakotustila käyttöön kaikissa Active Directory -toimialueen ohjauskoneissa. Päivityksestä 9. maaliskuuta 2021 alkaen valvontatila voidaan ottaa käyttöön kaikissa Windows toimialueen ohjauskoneissa.

Päivitysten ajoitus

Nämä Windows päivitykset julkaistaan kahdessa vaiheessa:

  • Ensimmäisen käyttöönoton vaihe päivitysten Windows 8. joulukuuta 2020 tai sen jälkeen.

  • Päivitysten pakotusvaihe Windows 9. maaliskuuta 2021 tai sen jälkeen.

8. joulukuuta 2020: käyttöönoton alkuvaihe

Käyttöönoton alkuvaihe alkaa 8. Windows 8. joulukuuta 2020 julkaistusta päivityksestä, ja se jatkuu myöhemmin julkaistulla Windows pakotusvaiheen päivityksellä. Nämä ja uudemmat Windows tekevät muutoksia Kerberos-versioon.

Tämä julkaisu:

  • Osoitteet CVE-2020-16996 (oletusarvoisesti poissa käytöstä).

  • Lisää NonForwardableDelegation-rekisteriarvon tuen Active Directory -toimialueen ohjauspalvelimien suojauksen mahdollistamiseksi. Oletusarvon mukaan arvoa ei ole olemassa.

Riskien lieventäminen koostuu Windows-päivitysten asentamisesta kaikkiin laitteisiin, jotka isännöivät Active Directory -toimialueen ohjauskoneen roolia ja vain luku -tilassa olevat toimialueen ohjauskoneeseen (TTT) ja ottamalla sitten käyttöön pakotustilan.

9. maaliskuuta 2021: Pakotusvaihe

9. maaliskuuta 2021 -julkaisusiirtymät pakotusvaiheeseen. Pakotusvaihe pakottaa muutokset osoitteeseen CVE-2020-16996. Active Directory -toimialueen ohjauskoneet ovat nyt pakotustilassa, ellei pakotustilan rekisteriavaimen arvoksi ole määritetty 1 (Poissa käytöstä). Jos pakotustilan rekisteriavain on määritetty, asetus otetaan käyttöön. Pakotustilaan meneminen edellyttää, että kaikkiin Active Directory -toimialueen ohjauskoneeseen on asennettu päivitys 8. joulukuuta 2020 tai uudempi.

Asennusohjeet

Ennen tämän päivityksen asentamista

Seuraavat pakolliset päivitykset on asennettava, ennen kuin voit ottaa tämän päivityksen käyttöön. Jos käytät Windows päivitystä, nämä pakolliset päivitykset tarjotaan automaattisesti tarpeen mukaan.

TärkeääSinun on käynnistettävä laite uudelleen, kun olet asentanut tarvittavat päivitykset.

Asenna päivitys

Voit ratkaista suojausheikkouden asentamalla Windows ja seuraavilla ohjeilla pakotustilan käyttöön.

Varoitus Ajoittainen todennus voi ilmetä, jos Windows päivittyy ja rekisteriarvoa käytetään johdonmukaisesti yhdessä tai molemmissa seuraavista skenaarioista:

  • 8. joulukuuta 2020 Windows -päivitys asennetaan epäyhdenmukaisesti Active Directoryn toimialueen ohjauskoneeseen ja NonForwardableDelegation-arvoksi määritetään 0 epäyhdenmukaisesti kyseisissä toimialueen ohjauskoneissa.

  • 9. maaliskuuta 2021 Windows -päivitys asennetaan epäyhdenmukaisesti Active Directory -toimialueen ohjauskoneeseen, jotka ovat implisiittisesti käytössä, asentamalla ensin 8. joulukuuta 2020 Windows -päivitys kaikkiin Windows Server 2008 R2:n tai sitä aiempiin Active Directory -toimialueen ohjauskoneeseen, jotka sijaitsevat Soittaja-, Keskitason tai Kohde-toimialueissa.

                Tärkeää Sekä Windows että rekisteriarvo on otettava yhdenmukaisesti käyttöön ympäristösi KAIKISSA Active Directory -toimialueen ohjauskoneissa.


Vaihe 1: Windows asentaminen

Asenna 8. joulukuuta 2020 Windows päivitys tai uudempi Windows päivitä kaikkiin laitteisiin, joissa on Active Directory -toimialueen ohjauskonerooli toimialuepuurooli, mukaan lukien vain luku -toimialueen ohjauskoneet.

Windows Server -tuote

kt #

Päivityksen tyyppi

Windows Server, versio 20H2 (Server Core -asennus)

4592438

Suojauspäivitys

Windows Server, versio 2004 (Server Core -asennus)

4592438

Suojauspäivitys

Windows Server, versio 1909 (Server Core -asennus)

4592449

Suojauspäivitys

Windows Server, versio 1903 (Server Core -asennus)

4592449

Suojauspäivitys

Windows Server 2019 (Server Core -asennus)

4592440

Suojauspäivitys

Windows Server 2019

4592440

Suojauspäivitys

Windows Server 2016 (Server Core -asennus)

4593226

Suojauspäivitys

Windows Server 2016

4593226

Suojauspäivitys

Windows Server 2012 R2 (Server Core -asennus)

4592484

Kuukausittainen koonti

4592495

Vain suojaus

Windows Server 2012 R2

4592484

Kuukausittainen koonti

4592495

Vain suojaus

Windows Server 2012 (Server Core -asennus)

4592468

Kuukausittainen koonti

4592497

Vain suojaus

Windows Server 2012

4592468

Kuukausittainen koonti

4592497

Vain suojaus

Windows Server 2008 R2 Service Pack 1

4592471

Kuukausittainen koonti

4592503

Vain suojaus

Windows Server 2008 Service Pack 2

4592498

Kuukausittainen koonti

4592504

Vain suojaus

Vaihe 2: Pakotustilan ottaminen käyttöön

Kun kaikki laitteet, joissa on Active Directory -toimialueen ohjauskonerooli, on päivitetty, odota vähintään koko päivä, jotta kaikki avoimet Palvelu käyttäjän Self (S4U2self) Kerberos-palveluliput vanhenevat. Ota sitten täysi suojaus käyttöön ottamalla pakotustila käyttöön. Ota pakotustilan rekisteriavain käyttöön.

Varoitus Rekisterin virheellinen muokkaaminen Rekisterieditorin tai muun menetelmän avulla voi aiheuttaa vakavia ongelmia. Nämä ongelmat saattavat edellyttää käyttöjärjestelmän asentamista uudelleen. Microsoft ei voi taata, että nämä ongelmat voidaan ratkaista. Muokkaat rekisteriä omalla vastuullasi.

Huomautus Tätä rekisteriarvoa ei luoda asentamalla tämä päivitys. Tämä rekisteriarvo on lisättävä manuaalisesti.

Rekisterin aliavain

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Arvo

NonForwardableDelegation

Tietotyyppi

REG_DWORD

Tiedot

1:Poistaa käytöstä pakotustilan.  

0: Ottaa käyttöön pakotustilan. Tämä on suojattu tila.

Oletus

1

Vaaditaanko uudelleenkäynnistys?

Ei


Huomautuksia"NonForwardableDelegation"-rekisteriarvosta:

  • Jos rekisteriarvo on määritetty, se on etusijalla 9. maaliskuuta 2021 -päivitysten pakotustilan Windows.

    • Jos rekisteriarvona on 1 (Poista käytöstä), edelleenlähetys sallitaan Kerberos-palvelulipuissa, joita EI ole merkitty edelleenlähetyskelpoisiksi.

    • Jos rekisteriarvona on 0 (Ota käyttöön), edelleenlähetysTÄ EI sallita Kerberos-palvelulipuissa, joita EI ole merkitty edelleenlähetyskelpoisiksi.

  • Jos toimialueesi sisältää Windows Server 2008 R2:n tai aiemmat Active Directory -toimialueen ohjauskoneet, sinun ei tarvitse määrittää pakotustilaa, koska nämä toimialueen ohjauskoneet eivät tue RBCD:tä.

  • Jos active directory -toimialueen ohjauskovoja ei päivitetä johdonmukaisesti pakotustilan käyttöönottoon, palvelun delegointi epäonnistuu ajoittain.

  • Ennen kuin määrität pakotustilan:

    • Kaikki Active Directory -toimialueen ohjauskoneeseen on päivitettävä 8. joulukuuta 2020 Windows tai uudemman päivityksen Windows ja

    • Kaikkien avointen S4USelf Kerberos -palvelulippujen on oltava vanhentuneet, koska ne ovat vanhentuneet, Windows päivityksen käyttöönoton jälkeen kaikkiin Active Directory -toimialueen ohjauskoneeseen.

Huomioon otettavia seikkoja

Kun tämä suojaus on käytössä, se Resource-Based rajoitettu delegointi (RBCD) logiikan alkuperäiseen rajoitettuun delegointiin. Tämä voi aiheuttaa ongelmia kahdessa seuraavassa tilanteessa:

  • Yhdessä palvelussa käytetään samanaikaisesti alkuperäistä Kerberos Constrained Delegation (KCD) -delegointia ilman protokollan siirtymää yhteen kohteeseen, kun se käyttää RBCD:tä ja protokollan siirtymää toiseen. Tämän muutoksen jälkeen protokollanestosiirtymä koskee kumpaakin delegointityyliä.

  • RBCD:tä käytetään toimialueissa, joissa käytetään toimialueen ohjauskoneiden ohjaimia, joita ei ole päivitetty CVE-2020-16996:lla tai jotka käyttävät Windows Serverin vanhempia versioita (vanhempi kuin Windows Server 2012), joilla ei ole saatavilla CVE-2020-16996 -päivitystä. Ne KDCS-keskukset, joita ei ole päivitetty, eivät merkitse S4USelf Kerberos -palvelulippuja, sillä delegointi ja protokollan siirtäminen estetään.

Tarvitsetko lisäohjeita?

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Microsoft Insider-käyttäjille

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?

Kiitos palautteesta!

×