|
IMPORTANT La date du mode de mise en conformité indiquée précédemment dans cet article a été remplacée par le 9 mars 2021. |
Résumé
Si vous utilisez le groupe Utilisateurs protégés et la délégation contrainte basée sur les ressources (RBCD), une faille de sécurité peut exister sur les contrôleurs de domaine Active Directory. Pour en savoir plus sur cette faille de sécurité, consultez l’avis CVE-2020-16996.
|
Procédure à suivre Pour protéger votre environnement et empêcher les pannes, vous devez suivre la procédure ci-dessous :
|
Calendrier des mises à jour
Ces mises à jour Windows seront publiées en deux phases :
-
La phase de déploiement initiale des mises à jour Windows publiées le 8 décembre 2020 ou ultérieurement.
-
La phase de mise en conformité, prévue pour les mises à jour Windows publiées le 9 mars 2021 ou après cette date.
8 décembre 2020 : phase de déploiement initiale
La phase de déploiement initiale commence par la mise à jour Windows publiée le 8 décembre 2020 et se poursuit par une mise à jour Windows ultérieure pour la phase de mise en conformité. Ces mises à jour Windows et les mises à jour ultérieures apportent des modifications à Kerberos.
Cette version :
-
répond au problème CVE-2020-16996 (désactivé par défaut).
-
Ajout de la prise en charge de la valeur de Registre NonForwardableDelegation pour activer la protection sur les serveurs contrôleurs de domaine Active Directory. Par défaut, cette valeur n’existe pas.
L’atténuation consiste à installer les mises à jour Windows sur tous les appareils qui hébergent le rôle Contrôleur de domaine Active Directory et les contrôleurs de domaine en lecture seule (RODC), puis à activer le mode de mise en conformité.
9 mars 2021 : Phase de mise en conformité
La publication du 9 mars 2021 constitue la transition vers la phase de mise en conformité. La phase de mise en conformité applique les modifications permettant de répondre au problème CVE-2020-16996. Les contrôleurs de domaine Active Directory passeront alors en mode de mise en conformité, à moins que la clé de Registre de ce mode ne soit définie sur 1 (Désactivé). Si la clé de Registre du mode de mise en conformité est définie, le paramètre sera respecté. Pour passer au mode de mise en conformité, la mise à jour du 8 décembre 2020 ou une mise à jour ultérieure doit avoir été installée sur tous les contrôleurs de domaine Active Directory.
Instructions d’installation
Avant d’installer cette mise à jour
Vous devez avoir installé les mises à jour obligatoires suivantes avant d’appliquer cette mise à jour. Si vous utilisez Windows Update, ces mises à jour obligatoires vous seront proposées automatiquement, si nécessaire.
-
Vous devez avoir installé la mise à jour SHA-2 (KB4474419) du 23 septembre 2019 ou une mise à jour SHA-2 ultérieure, puis redémarrer votre appareil avant d’appliquer cette mise à jour. Pour plus d’informations sur les mises à jour SHA-2, consultez l’article Obligation de prise en charge de la signature du code SHA-2 2019 pour Windows et WSUS.
-
Pour Windows Server 2008 R2 SP1, vous devez avoir installé la mise à jour de la pile de maintenance (SSU) (KB4490628) datée du 12 mars 2019. Une fois la mise à jour KB4490628 installée, il est recommandé d’installer la dernière mise à jour SSU. Pour plus d’informations sur les dernières mises à jour SSU, consultez l’avis ADV990001 | Dernières mises à jour de la pile de maintenance.
-
Pour Windows Server 2008 SP2, vous devez avoir installé la mise à jour de la pile de maintenance (SSU) (KB4493730) datée du 9 avril 2019. Une fois la mise à jour KB4493730 installée, il est recommandé d’installer la dernière mise à jour SSU. Pour plus d’informations sur les dernières mises à jour SSU, consultez l’avis ADV990001 | Dernières mises à jour de la pile de maintenance.
-
Vous devez acheter la mise à jour de sécurité étendue (ESU) pour les versions locales de Windows Server 2008 SP2 ou de Windows Server 2008 R2 SP1 après la date de fin du support étendu fixée au 14 janvier 2020. Si vous avez acheté la mise à jour de sécurité étendue (ESU), vous devez suivre les procédures décrites dans l’article KB4522133 pour continuer à recevoir les mises à jour de sécurité. Pour plus d’informations sur la mise à jour ESU et sur les éditions prises en charge, consultez l’article KB4497181.
Important Vous devez redémarrer votre appareil après avoir installé ces mises à jour obligatoires.
Installation de la mise à jour
Pour résoudre la faille de sécurité, installez les mises à jour Windows et activez le mode de mise en conformité en suivant les étapes suivantes.
|
Avertissement Des problèmes d’authentification intermittents peuvent survenir si ces mises à jour Windows et la valeur de Registre sont appliquées de manière incohérente dans l’un des scénarios suivants, ou les deux :
Important Les mises à jour Windows ainsi que la valeur de Registre doivent être appliquées de manière cohérente sur TOUS les contrôleurs de domaine Active Directory de votre environnement. |
Étape 1 : Installer la mise à jour Windows
Installez la mise à jour Windows du 8 décembre 2020 ou une mise à jour Windows ultérieure sur tous les appareils qui hébergent le rôle Contrôleur de domaine Active Directory dans la forêt, y compris les contrôleurs de domaine en lecture seule.
|
Produit Windows Server |
N° article |
Type de mise à jour |
|
Windows Server version 20H2 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server version 2004 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server version 1909 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server version 1903 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server 2019 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server 2019 |
Mise à jour de sécurité |
|
|
Windows Server 2016 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server 2016 |
Mise à jour de sécurité |
|
|
Windows Server 2012 R2 (installation Server Core) |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2012 R2 |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2012 (installation Server Core) |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2012 |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2008 R2 Service Pack 1 |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2008 Service Pack 2 |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
Étape 2 : Activer le mode de mise en conformité
Une fois la mise à jour de tous les appareils qui hébergent le rôle de contrôleur de domaine Active Directory effectuée, attendez au moins une journée complète pour permettre l’expiration de tous les tickets de services Service for User to Self (S4U2self) en suspens de Kerberos. Puis, activez la protection complète en déployant le mode de mise en conformité. Pour cela, activez la clé de Registre du mode de mise en conformité.
Avertissement Toute modification incorrecte du Registre à l’aide de l’Éditeur du Registre ou d’une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent vous obliger à réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous modifiez le Registre à vos risques et périls.
Remarque L’installation de cette mise à jour ne crée pas la valeur du Registre. Vous devez ajouter cette valeur du Registre manuellement.
|
Sous-clé de Registre |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Valeur |
NonForwardableDelegation |
|
Type de données |
REG_DWORD |
|
Données |
1 : désactive le mode de mise en conformité. 0 : active le mode de mise en conformité. C’est l’état protégé. |
|
Valeur par défaut |
1 |
|
Redémarrage nécessaire ? |
Non |
Remarques concernant la
valeur de Registre « NonForwardableDelegation » :
-
Si la valeur de Registre est définie, elle est prioritaire sur le paramètre de mode de mise en conformité inclus dans les mises à jour Windows du 9 mars 2021.
-
Si la valeur de Registre est définie sur 1 (Désactiver), le transfert est autorisé sur les tickets de service Kerberos NON marqués comme pouvant être transférés.
-
Si la valeur de Registre est définie sur 0 (Activer), le transfert n'est PAS autorisé sur les tickets de service Kerberos NON marqués comme pouvant être transférés.
-
-
Si votre domaine inclut des contrôleurs de domaine Windows Server 2008 R2 ou des contrôleurs de domaine Active Directory antérieurs, vous n’avez pas à définir le mode de mise en conformité car ces contrôleurs de domaine ne prennent pas en charge la RBCD.
-
Le fait de ne pas mettre à jour systématiquement tous les contrôleurs de domaine Active Directory lors de l’activation du mode de mise en conformité entraînera des défaillances intermittentes de délégation de service.
-
Avant de définir le mode de mise en conformité :
-
Tous les contrôleurs de domaine Active Directory doivent être mis à jour avec la mise à jour Windows du 8 décembre 2020 ou une mise à jour ultérieure, et
-
Tous les tickets de service S4USelf de Kerberos en suspens doivent avoir expiré en attendant un jour après avoir terminé le déploiement de la mise à jour Windows pour tous les contrôleurs de domaine Active Directory.
-
Considérations supplémentaires
Lorsque cette protection est activée, elle unifie la logique de la délégation contrainte basée sur les ressources (RBCD) avec celle de la délégation contrainte d’origine. Cela peut entraîner des problèmes dans les deux scénarios suivants :
-
Un seul service utilise simultanément la délégation contrainte Kerberos (KCD) d’origine sans transition de protocole vers une cible tout en utilisant la RBCD avec transition de protocole vers une autre. Après cette modification, le refus de transition de protocole s’appliquera aux deux styles de délégation.
-
La RBCD est utilisée dans un domaine qui utilise des contrôleurs de domaine non mis à jour avec CVE-2020-16996 ou exécutant des versions plus anciennes de Windows Server (antérieures à Windows Server 2012) qui n’ont pas de mise à jour disponible pour CVE-2020-16996. Les centres de distribution de clés (KDC) non mis à jour ne marquent pas les tickets de service Kerberos S4USelf comme corrects pour la délégation et la transition de protocole est refusée.
