TÄRKEÄÄ Tässä artikkelissa mainittu pakotustilan päivämäärä on muuttunut 9. maaliskuuta 2021.

Yhteenveto

Jos käytät suojattuja käyttäjiä ja resurssipohjaisia rajoitettuja delegointeja (RBCD), Active Directory -toimialueen ohjauskoneissa voi olla suojausheikkous. Lisätietoja suojausongelmasta on CVE-2020-16996 :ssa.

Toimi

Jos haluat suojata ympäristön ja estää käyttökaavat, sinun on tehtävä seuraavat toimet:

  1. Päivitä kaikki laitteet, jotka isännöidä Active Directory -toimialueen ohjauskoneen roolia, asentamalla 8. joulukuuta 2020 -Windows-päivitys tai uudempi Windows-päivitys. Ota huomioon, että Windows-päivityksen asentaminen ei täysin vähentä suojausheikkoutta. Sinun on suoritettava vaihe 2.

  2. Ota pakotustila käyttöön kaikissa Active Directory -toimialueen ohjauskoneissa. 9. maaliskuuta 2021 -päivityksestä alkaen pakotustila voidaan ottaa käyttöön kaikissa Windowsin toimialueen ohjauskoneissa.

Päivitysten ajoitus

Nämä Windows-päivitykset julkaistaan kahdessa vaiheessa:

  • Windows-päivitysten ensimmäinen käyttöönottovaihe, joka julkaistiin 8. joulukuuta 2020 tai sen jälkeen.

  • 9. maaliskuuta 2021 tai sen jälkeen julkaistujen Windows-päivitysten pakotusvaihe.

8. joulukuuta 2020: Käyttöönoton alkuvaihe

Ensimmäinen käyttöönottovaihe alkaa Windows-päivityksestä, joka julkaistiin 8. joulukuuta 2020, ja se jatkuu uudemmalla Windows-päivityksellä pakotusvaihetta varten. Nämä ja uudemmat Windows-päivitykset tekevät muutoksia Kerberosiin.

Tämä julkaisu:

  • Osoitteet CVE-2020-16996 (poissa käytöstä oletusarvoisesti).

  • Lisää NonForwardableDelegation-rekisteriarvon tuen Active Directory -toimialueen ohjauspalvelimien suojauksen mahdollistamiseksi. Arvoa ei ole oletusarvoisesti olemassa.

Riskien lieventäminen koostuu Windows-päivitysten asennuksesta kaikkiin laitteisiin, jotka isännöivät Active Directory -toimialueen ohjauskoneen roolia ja vain luku -toimialueen ohjauskoneeseen (NEG) ja ota sitten pakotustila käyttöön.

9. maaliskuuta 2021: Pakotusvaihe

9. maaliskuuta 2021 -julkaisusiirtymät pakotusvaiheeseen. Pakotusvaihe pakottaa muutokset osoitteeseen CVE-2020-16996. Active Directory -toimialueen ohjauskoneet ovat nyt pakotustilassa, ellei pakotustilan rekisteriavaimen arvoksi ole määritetty 1 (Poissa käytöstä). Jos pakotustilan rekisteriavain on määritetty, asetus on käytössä. Pakotustilaan meneminen edellyttää, että kaikkiin Active Directory -toimialueen ohjauskoneihin on asennettu 8. joulukuuta 2020 -päivitys tai uudempi päivitys.

Asennusohjeet

Ennen tämän päivityksen asentamista

Seuraavat pakolliset päivitykset on asennettava, ennen kuin otat tämän päivityksen käyttöön. Jos käytät Windows Updatea, nämä pakolliset päivitykset tarjotaan automaattisesti tarpeen mukaan.

TärkeääSinun on käynnistettävä laite uudelleen näiden tarvittavien päivitysten asentamisen jälkeen.

Asenna päivitys

Voit ratkaista suojausongelman asentamalla Windows-päivitykset ja seuraavilla ohjeilla pakotustilan käyttöön.

Varoitus Ajoittaista todentamista voi ilmetä, jos näitä Windows-päivityksiä ja rekisteriarvoa käytetään johdonmukaisesti jossakin tai molemmissa seuraavista tilanteista:

  • 8. joulukuuta 2020 -Windows-päivitys asennetaan epäyhdenmukaisesti Active Directory -toimialueen ohjauskoneille ja NonForwardableDelegation-arvoksi määritetään 0 epäyhdenmukaisesti kyseisissä toimialueen ohjauskoneissa.

  • 9. maaliskuuta 2021 oleva Windows-päivitys asennetaan epäyhdenmukaisesti Active Directory -toimialueen ohjauskoneeseen, joka on implisiittisesti käytössä, asentamalla ensin 8. joulukuuta 2020 -päivitys kaikkiin Windows Server 2008 R2:n tai sitä aiempiin Active Directory -toimialueen ohjauskoneeseen, jotka sijaitsevat soittaja-, väli- tai kohdetoimialueissa.

Tärkeää Sekä Windows-päivitykset että rekisteriarvo on otettava yhdenmukaisesti käyttöön KAIKISSA Active Directory -toimialueen ohjauskoneissa ympäristössäsi.


Vaihe 1: Windows-päivityksen asentaminen

Asenna 8. joulukuuta 2020 -Windows-päivitys tai uudempi Windows-päivitys kaikkiin laitteisiin, jotka isännöidä Active Directory -toimialueen ohjauskoneen roolia toimialuepuuroissa, mukaan lukien vain luku -toimialueen ohjauskoneet.

Windows Server -tuote

kt #

Päivityksen tyyppi

Windows Server, versio 20H2 (Server Core -asennus)

4592438

Suojauspäivitys

Windows Server, versio 2004 (Server Core -asennus)

4592438

Suojauspäivitys

Windows Server, versio 1909 (Server Core -asennus)

4592449-https://support.microsoft.com/help/4592449

Suojauspäivitys

Windows Server, versio 1903 (Server Core -asennus)

4592449-https://support.microsoft.com/help/4592449

Suojauspäivitys

Windows Server 2019 (Server Core -asennus)

4592440

Suojauspäivitys

Windows Server 2019

4592440

Suojauspäivitys

Windows Server 2016 (Server Core -asennus)

4593226

Suojauspäivitys

Windows Server 2016

4593226

Suojauspäivitys

Windows Server 2012 R2 (Server Core -asennus)

4592484https://support.microsoft.com/help/4592484

Kuukausittainen koonti

4592495

Vain suojaus

Windows Server 2012 R2

4592484https://support.microsoft.com/help/4592484

Kuukausittainen koonti

4592495

Vain suojaus

Windows Server 2012 (Server Core -asennus)

4592468-https://support.microsoft.com/help/4592468

Kuukausittainen koonti

4592497-https://support.microsoft.com/help/4592497

Vain suojaus

Windows Server 2012

4592468

Kuukausittainen koonti

4592497-https://support.microsoft.com/help/4592497

Vain suojaus

Windows Server 2008 R2 Service Pack 1

4592471-https://support.microsoft.com/help/4592471

Kuukausittainen koonti

4592503

Vain suojaus

Windows Server 2008 Service Pack 2

4592498

Kuukausittainen koonti

4592504-https://support.microsoft.com/help/4592504

Vain suojaus

Vaihe 2: Pakotustilan ottaminen käyttöön

Kun kaikki Laitteet, jotka isännöidä Active Directory -toimialueen ohjauskoneroolia, on päivitetty, odota vähintään koko päivä, jotta kaikki avoimet Palvelut, joita käyttäjä voi käyttää Self (S4U2self) Kerberos-palvelulipuissa, vanhenevat. Ota sitten täysi suojaus käyttöön ottamalla käyttöön pakotustila. Ota tätä varten käyttöön pakotustilan rekisteriavain.

Varoitus Rekisterin virheellinen muokkaaminen rekisterieditorin tai muun menetelmän avulla voi aiheuttaa vakavia ongelmia. Nämä ongelmat saattavat edellyttää käyttöjärjestelmän asentamista uudelleen. Microsoft ei voi taata, että nämä ongelmat voidaan ratkaista. Muokkaa rekisteriä omalla vastuullasi.

Huomautus Tätä rekisteriarvoa ei luoda asentamalla tämä päivitys. Tämä rekisteriarvo on lisättävä manuaalisesti.

Rekisterin aliavain

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Arvo

NonForwardableDelegation

Tietotyyppi

REG_DWORD

Tiedot

1:Poistaa käytöstä pakotustilan.  

0:Ottaa käyttöön pakotustilan. Tämä on suojattu tila.

Oletus

1

Edellyttääkö uudelleenkäynnistys?

Ei


Huomautuksia NonForwardableDelegation-rekisteriarvosta:

  • Jos rekisteriarvo on määritetty, se on ensisijainen 9. maaliskuuta 2021 -päivityksiin sisältyvään pakotustilan asetukseen.

    • Jos rekisteriarvona on 1 (Poista käytöstä), edelleenlähetys sallitaan Edelleenlähetyskelpoisiksi merkityille Kerberos-palvelulipuille.

    • Jos rekisteriarvona on 0 (Ota käyttöön), edelleenlähetysTÄ EI sallita Kerberos-palvelulipuissa, jotka on merkitty edelleenlähetyskelpoisiksi ja pakotustila on käytössä.

  • Jos toimialueesi sisältää Windows Server 2008 R2:n tai aiemmat Active Directory -toimialueen ohjauskoneet, sinun ei tarvitse määrittää pakotustilaa, koska nämä toimialueen ohjauskoneet eivät tue RBCD:tä.

  • Jos kaikkia Active Directory -toimialueen ohjauskovomia ei päivitetä johdonmukaisesti pakotustilaa ottaessa käyttöön, palvelun delegointi epäonnistuu ajoittain.

  • Ennen kuin määrität pakotustilan:

    • Kaikki Active Directory -toimialueen ohjauskoneet on päivitettävä 8. joulukuuta 2020 -päivityksellä tai uudemmalla Windows-päivityksellä ja

    • Kaikkien avointen S4USelf Kerberos -palvelulippujen on oltava vanhentuneet, kun Windows-päivityksen käyttöönotto on suoritettu loppuun kaikkien Active Directory -toimialueen ohjauskoneiden kanssa.

Muita huomioon otettavia seikkoja

Kun tämä suojaus on käytössä, se Resource-Based rajoitettu delegoinnin (RBCD) logiikan alkuperäiseen rajoitettuun delegointiin. Tämä voi aiheuttaa ongelmia seuraavissa kahdessa tilanteessa:

  • Yhdessä palvelussa käytetään samanaikaisesti alkuperäistä Kerberos-rajoitettua delegointia (KCD), jossa ei ole protokollasiirtymisprotokollaa, kun se käyttää RBCD:tä ja protokollasiirtymä toiseen. Tämän muutoksen jälkeen protokollasiirtymisenesto koskee kumpaakin delegointityyliä.

  • RBCD:tä käytetään toimialueessa, joka käyttää toimialueen ohjauskoneeseen, jota ei ole päivitetty CVE-2020-16996:lla tai windows Serverin vanhemmilla (Windows Server 2012 :tä vanhemmilla) versioilla, joilla ei ole saatavilla CVE-2020-16996 -päivitystä. Ne KDCS-keskukset, joita ei päivitetä, eivät merkitse S4USelf Kerberos -palvelulippuja delegoinnin ja protokollan siirtymän osalta.

Tarvitsetko lisäohjeita?

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Microsoft Insider-käyttäjille

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?

Kiitos palautteestasi.

×