Tärkeää: Tässä artikkelissa aiemmin ilmoitetut julkaisupäivät ovat muuttuneet. Huomaa, että uudet julkaisupäivät ovat "Toimi" ja "Näiden Windows-päivitysten ajoitukset" -osioissa.
Yhteenveto
Suojausominaisuuden ohitusheikkous on olemassa tavan, jolla KDC (Key Distribution Center) määrittää, voidaanko Kerberos-palvelulippua käyttää delegointiin Kerberosin rajoitettujen delegointien (KCD) kautta. Haavoittuvaisuus voidaan hyödyntää hyödyntämällä KCD:n käyttöön määritettyä vaarantunutta palvelua, joka voi peukaloida Kerberos-palvelulippua, joka ei kelpaa delegoinniksi, pakottaa KDC:n hyväksymään sen. Nämä Windows-päivitykset liittyvät tähän haavoittuvuuteen muuttamalla sitä, miten KDC tarkistaa Kerberos-palveluliput, joita käytetään KCD:n kanssa.
Lisätietoja tästä haavoittuvuusongelmasta on CVE-2020-17049 -esityksessä.
Toimi Voit suojata ympäristön ja estää käyttökehät noudattamalla seuraavia ohjeita:
|
Näiden Windows-päivitysten ajoitus
Nämä Windows-päivitykset julkaistaan kolmessa vaiheessa:
-
Windows-päivitysten ensimmäinen käyttöönottovaihe, joka julkaistiin 8. joulukuuta 2020 tai sen jälkeen.
-
Toinen käyttöönottovaihe, joka poistaa PerformTicketSignature-asetuksen0 ja edellyttää joko asetusta 1 tai 2, 13. huhtikuuta 2021 tai sen jälkeen.
-
13. heinäkuuta 2021 tai sen jälkeen julkaistujen Windows-päivitysten pakotusvaihe.
8. joulukuuta 2020: Käyttöönoton alkuvaihe
Ensimmäinen käyttöönottovaihe alkaa Windows-päivityksestä, joka julkaistiin 8. joulukuuta 2020, ja se jatkuu uudemmalla Windows-päivityksellä pakotusvaihetta varten. Nämä ja uudemmat Windows-päivitykset tekevät muutoksia Kerberosiin. Tämä 8. joulukuuta 2020 -päivitys sisältää korjauksia kaikkiin tunnettuihin ongelmiin, jotka julkaistiin 10. marraskuuta 2020 -versiolla CVE-2020-17049. Tämä päivitys lisää myös Windows Server 2008 SP2: n ja Windows Server 2008 R2:n tuen.
Tämä julkaisu:
-
Osoitteet CVE-2020-17049 (oletusarvoisesti käyttöönottotilassa).
-
Lisää PerformTicketSignature-rekisteriarvon tuen Active Directory -toimialueen ohjauspalvelimien suojauksen mahdollistamiseksi. Tätä arvoa ei ole oletusarvoisesti olemassa.
Riskien lieventäminen koostuu Windows-päivitysten asennuksesta kaikkiin laitteisiin, jotka isännöivät Active Directory -toimialueen ohjauskoneen roolia ja vain luku -toimialueen ohjauskoneeseen (NEG) ja ota sitten pakotustila käyttöön.
13. huhtikuuta 2021: Toinen käyttöönottovaihe
Toinen käyttöönottovaihe alkaa Windows-päivityksestä, joka julkaistiin 13. huhtikuuta 2021. Tämä vaihe poistaa PerformTicketSignature-asetuksen0.PerformTicketSignature-asetuksen määrittäminen arvoksi 0 päivityksen asennuksen jälkeen vaikuttaa samalla tavalla kuin PerformTicketSignature-asetuksen arvoksi1. DCs on käyttöönottotilassa.
Huomautuksia
-
Tämä vaihe ei ole tarpeen, jos PerformTicketSignature-arvoksi ei ole koskaan määritetty 0 ympäristössäsi. Tämän vaiheen avulla voit varmistaa, että PerformTicketSignature-asetuksen0 määrittäneet asiakkaat siirretään asetukseen 1 ennen pakotusvaihetta.
-
Kun 13. huhtikuuta 2021 -päivitykset otetaan käyttöön, PerformTicketSignature-asetuksen määrittäminen arvoksi 1 mahdollistaa palvelulippujen uusiutumisen. Tämä on muutos ennen huhtikuuta 2021 tehtyihin Windows-päivityksiin, kun PerformTicketSignature-asetuksen arvoksi oli 1, mikä aiheutti palvelulippujen uusiutumisen.
-
Tässä päivityksessä oletetaan, että kaikki toimialueen ohjauskoneeseen on päivitetty 8. joulukuuta 2020 -päivitykset tai uudemmat päivitykset.
-
Kun olet asentanut tämän päivityksen ja määritä PerformTicketSignature-arvoksi manuaalisesti tai ohjelmallisesti 1 tai uudempi, windows Server -toimialueen ohjauskokoneet, joita ei tueta, eivät enää toimi tuettujen toimialueohjainten kanssa. Tämä koskee Windows Server 2008:aa ja Windows Server 2008 R2:ta ilman Laajennettuja suojauspäivityksiä (ESU) ja Windows Server 2003:a.
13. heinäkuuta 2021: Pakotusvaihe
13. heinäkuuta 2021 -julkaisusiirtymät pakotusvaiheeseen. Pakotusvaihe pakottaa muutokset osoitteeseen CVE-2020-17049. Active Directory -toimialueen ohjauskoneet pystyvät nyt pakotustilaan. Pakotustilaan meneminen edellyttää, että kaikkiin Active Directory -toimialueen ohjauskoneiin on asennettu 8. joulukuuta 2020 -päivitys tai uudempi Windows-päivitys. Tällä hetkellä PerformTicketSignature-rekisteriavaimen asetukset ohitetaan eikä pakotustilaa voi ohittaa.
Asennusohjeet
Ennen tämän päivityksen asentamista
Seuraavat pakolliset päivitykset on asennettava, ennen kuin otat tämän päivityksen käyttöön. Jos käytät Windows Updatea, nämä pakolliset päivitykset tarjotaan automaattisesti tarpeen mukaan.
-
Sha-2-päivitys(KB4474419),joka on päivätty 23. syyskuuta 2019 tai uudempi SHA-2-päivitys, on oltava asennettuna ja laite on käynnistettävä uudelleen ennen tämän päivityksen asentamista. Lisätietoja SHA-2-päivityksistä on 2019 SHA-2-koodin allekirjoitustuen vaatimuksessa Windowsissa ja WSUS:ssa.
-
Windows Server 2008 R2 SP1:ssä on oltava asennettuna ylläpitopinopäivitys (SSU)(KB4490628),joka on päivätty 12. maaliskuuta 2019. Päivityksen KB4490628 asentamisen jälkeen on suositeltavaa asentaa uusin SSU-päivitys. Lisätietoja uusimmasta SSU-päivityksestä on ADV990001-| Uusimmat ylläpitopinopäivitykset.
-
Windows Server 2008 SP2:ssa on oltava asennettuna ylläpitopinopäivitys (SSU)(KB4493730),joka on päivätty 9. huhtikuuta 2019. Päivityksen KB4493730 asentamisen jälkeen on suositeltavaa asentaa uusin SSU-päivitys. Lisätietoja uusimmista SSU-päivityksistä on ADV990001-| Uusimmat ylläpitopinopäivitykset.
-
Asiakkaiden on hankittava Extended Security Update (ESU) Windows Server 2008 SP2:n tai Windows Server 2008 R2 SP1:n paikallisille versioille laajennetun tuen päätyttyä 14. tammikuuta 2020. Asiakkaiden, jotka ovat ostaneet ESU:n, on noudatettava ARTIKKELISSA KB4522133 annettuja ohjeita, jotta he voivat jatkaa suojauspäivitysten vastaanottamista. Lisätietoja ESU:sta ja tuetuista versioista on ARTIKKELISSA KB4497181.
TärkeääSinun on käynnistettävä laite uudelleen näiden tarvittavien päivitysten asentamisen jälkeen.
Asenna kaikki päivitykset
Voit ratkaista suojausongelman asentamalla kaikki Windows-päivitykset ja seuraavilla ohjeilla pakotustilan käyttöön:
-
Ota vähintään yksi päivitys käyttöön 8.12.2020 ja 9.3.2021 välillä kaikissa active directory -toimialueen ohjauskoneissa.
-
Ota käyttöön 12. huhtikuuta 2021 -päivitys vähintään yksi viikko vaiheen 1 jälkeen.
-
Kun kaikki Active Directory -toimialueen ohjauskoneet on päivitetty, odota vähintään koko viikko, jotta kaikki avoimet Palvelut, jotka koskevat käyttäjän Self (S4U2self) Kerberos-palvelulippujen vanhenemista, voidaan ottaa käyttöön ottamalla käyttöön Active Directory -toimialueen ohjauskoneeseen pakotustila.
Muistiinpanot-
Jos olet muokannut Kerberos-palvelupyynnön vanhentumisaikoja oletusasetuksista (oletusarvo on 7 päivää), sinun on odotettava vähintään ympäristössä määritettyä päivien määrää.
-
Näissä ohjeissa oletetaan, että PerformTicketSignature-arvoksi ei ole koskaan määritetty 0 ympäristössäsi. Jos PerformTicketSignature-asetuksena on 0,sinun on siirryttävä asetukseen 1, ennen kuin siirryt asetukseen 2 (pakotustila) ja odota vähintään viikko, jotta kaikki avoimet Palvelut, jotka käyttäjä voi itse (S4U2self) Kerberos-palveluliput vanhentuvat. Älä siirry suoraan asetuksesta 0 asetukseen 2 (pakotustila).
-
Vaihe 1: Windows-päivitysten asentaminen
Asenna asianmukainen 8. joulukuuta 2020 -Windows-päivitys tai uudempi Windows-päivitys kaikkiin laitteisiin, joissa on Active Directory -toimialueen ohjauskoneen rooli toimialuepuuroolissa, mukaan lukien vain luku -toimialueen ohjauskoneet.
Windows Server -tuote |
kt # |
Päivityksen tyyppi |
Windows Server, versio 20H2 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server, versio 2004 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server, versio 1909 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server, versio 1903 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server 2019 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server 2019 |
Suojauspäivitys |
|
Windows Server 2016 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server 2016 |
Suojauspäivitys |
|
Windows Server 2012 R2 (Server Core -asennus) |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2012 R2 |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2012 (Server Core -asennus) |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2012 |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2008 R2 Service Pack 1 |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2008 Service Pack 2 |
Kuukausittainen koonti |
|
Vain suojaus |
Vaihe 2: Pakotustilan ottaminen käyttöön
Kun kaikki Laitteet, jotka isännöidä Active Directory -toimialueen ohjauskoneen roolia, on päivitetty, odota vähintään koko viikon, jotta kaikki avoimet S4U2self Kerberos -palveluliput vanhenevat. Ota sitten täysi suojaus käyttöön ottamalla käyttöön pakotustila. Ota tätä varten käyttöön pakotustilan rekisteriavain.
Varoitus Rekisterin virheellinen muokkaaminen Rekisterieditorin tai muun menetelmän avulla voi aiheuttaa vakavia ongelmia. Nämä ongelmat saattavat edellyttää käyttöjärjestelmän asentamista uudelleen. Microsoft ei voi taata, että nämä ongelmat voidaan ratkaista. Muokkaa rekisteriä omalla vastuullasi.
Huomautus Tämä päivitys sisältää seuraavan rekisteriarvon tuen pakotustilan käyttöönottoon. Tätä rekisteriarvoa ei luoda asentamalla tämä päivitys. Tämä rekisteriarvo on lisättävä manuaalisesti.
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Arvo |
PerformTicketSignature |
Tietotyyppi |
REG_DWORD |
Tiedot |
1:Ottaa käyttöönottotilan käyttöön. Korjaus on otettu käyttöön toimialueen ohjauskoneessa, mutta Active Directory -toimialueen ohjauskone ei edellytä, että Kerberos-palveluliput ovat korjauksen mukaisia. Tämä tila lisää tukea lippujen allekirjoitukseen CVE-2020-17049:n päivitetyissä toimialueen ohjauskoneissa, mutta toimialueen ohjauskoneeseen ei vaadita lippujen allekirjoittamista. Tämä mahdollistaa yhdistelmän käyttöönoton alkuvaiheen (joulukuun ensimmäisen käyttöönoton päivitykseen päivittyvät DCs-tietokoneet) ja päivitetyt toimialueen ohjauskoneet voivat olla rinnakkaisia. Kun kaikki toimialueen ohjauskoneet on päivitetty ja 1on määritetty, kaikki uudet liput allekirjoitetaan. Tässä tilassa uudet liput merkitään uusiutuvaksi. 2:Ottaa käyttöön pakotustilan Tämä ottaa korjauksen käyttöön pakollisessa tilassa, jossa kaikki toimialueet on päivitettävä ja kaikki Active Directory -toimialueen ohjauskoneet edellyttävät Kerberos-palvelulippuja ja allekirjoituksia. Tämän asetuksen avulla kaikki lippujen on oltava kirjautuneena, jotta ne ovat kelvollisia. Tässä tilassa lippujen merkinnät ovat jälleen uusiutuvat. 0:Ei suositella. Poistaa Kerberos-palvelulippujen allekirjoitukset käytöstä, eikä toimialueita ole suojattu. Tärkeää: Asetus 0 ei ole yhteensopiva pakotusasetuksen 2 kanssa. Ajoittainen todennusvirhe voi ilmetä, jos pakotustilaa käytetään myöhemmässä vaiheessa, kun toimialueen arvoksi on määritetty 0. Suosittelemme asiakkaita siirtämään asetuksen 1 ennen pakotusvaihetta (vähintään viikko ennen pakottamista). |
Oletus |
1 (kun rekisteriavainta ei ole määritetty) |
Onko uudelleenkäynnistys pakollinen? |
Ei |