Important : Les dates de publication précédemment indiquées dans cet article ont été modifiées. Veuillez noter les nouvelles dates de publication dans les sections « Procédure à suivre » et « Calendrier de ces mises à jour Windows ».
Résumé
Il existe une vulnérabilité de contournement de la fonctionnalité de sécurité quant à la manière dont le Centre de distribution de clés (KDC) détermine si un ticket de service Kerberos peut être utilisé pour la délégation au moyen de la délégation Kerberos contrainte (KCD). Pour que cette vulnérabilité puisse être exploitée, un service piraté configuré pour utiliser la KCD pourrait altérer un ticket de service Kerberos qui n’est pas valide pour la délégation et forcer le KDC à l’accepter. Ces mises à jour Windows corrigent cette vulnérabilité en modifiant la manière dont le KDC valide les tickets de service Kerberos utilisés avec la KCD.
Pour en savoir plus sur cette vulnérabilité, voir CVE-2020-17049.
|
Procédure à suivre Pour protéger votre environnement et éviter les pannes, vous devez suivre toutes les étapes suivantes :
|
Calendrier de ces mises à jour Windows
Ces mises à jour Windows seront publiées en trois phases :
-
La phase de déploiement initiale des mises à jour Windows publiées le 8 décembre 2020 ou ultérieurement.
-
Une seconde phase de déploiement qui supprime le paramètre 0 de PerformTicketSignature et exige le paramètre 1 ou 2, le 13 avril 2021 ou ultérieurement.
-
La phase de mise en conformité, prévue pour les mises à jour Windows publiées le 13 juillet 2021 ou ultérieurement.
8 décembre 2020 : phase de déploiement initiale
La phase de déploiement initiale commence par la mise à jour Windows publiée le 8 décembre 2020 et se poursuit par une mise à jour Windows ultérieure pour la phase de mise en conformité. Ces mises à jour Windows et les mises à jour ultérieures apportent des modifications à Kerberos. La mise à jour du 8 décembre 2020 contient des correctifs pour tous les problèmes connus introduits à l’origine par la publication du 10 novembre 2020 de CVE-2020-17049. Elle ajoute également la prise en charge pour Windows Server 2008 SP2 et Windows Server 2008 R2.
Cette version :
-
Résolution de la vulnérabilité CVE-2020-17049 (en mode de déploiement par défaut).
-
Ajout de la prise en charge de la valeur du Registre PerformTicketSignature pour activer la protection sur les serveurs contrôleurs de domaine Active Directory. Par défaut, cette valeur n’existe pas.
L’atténuation consiste à installer les mises à jour Windows sur tous les périphériques qui hébergent le rôle de contrôleur de domaine Active Directory et les contrôleurs de domaine en lecture seule (RODC), puis à activer le mode de Mise en conformité.
13 avril 2021 : seconde phase de déploiement
La seconde phase de déploiement commence par la mise à jour Windows publiée le 13 avril 2021. Cette phase supprime le paramètre 0 de PerformTicketSignature. Définir PerformTicketSignature sur 0 après l’installation de cette mise à jour aura le même effet que définir PerformTicketSignature sur 1. Les contrôleurs de domaine seront en mode de déploiement.
Remarques
-
Cette phase n’est pas nécessaire si PerformTicketSignature n’a jamais été défini sur 0 dans votre environnement. Cette phase permet de s’assurer que les clients qui définissent PerformTicketSignature sur 0 le définissent sur 1 avant la phase de Mise en conformité.
-
Avec le déploiement des mises à jour du 13 avril 2021, la définition de PerformTicketSignature sur 1 rendra les tickets de service renouvelables. Il s’agit d’un changement de comportement par rapport aux mises à jour Windows d’avant avril 2021 lors de la définition de PerformTicketSignature sur 1, ce qui rendait les tickets de service non-renouvelables.
-
Cette mise à jour part du principe que tous les contrôleurs de domaine sont mis à jour avec les mises à jour du 8 décembre 2020 ou ultérieures.
-
Une fois cette mise à jour installée et la définition manuelle ou par programme de PerformTicketSignature sur 1 ou plus, les contrôleurs de domaine Windows Server non pris en charge ne fonctionneront plus avec les contrôleurs de domaine pris en charge. Cela inclut Windows Server 2008 et Windows Server 2008 R2 sans mises à jour de sécurité étendues (ESU) et Windows Server 2003.
13 juillet 2021 : phase de mise en conformité
La publication du 13 juillet 2021 constitue la transition vers la phase de mise en conformité, qui applique les modifications destinées à résoudre la vulnérabilité CVE-2020-17049. Les contrôleurs de domaine Active Directory peuvent désormais être en mode de mise en conformité. Pour passer au mode de mise en conformité, la mise à jour du 8 décembre 2020 ou une mise à jour Windows ultérieure doit avoir été installée sur tous les contrôleurs de domaine Active Directory. À cette date, les paramètres de clé de Registre PerformTicketSignature seront ignorés et le mode de mise en conformité ne pourra être remplacé.
Instructions d’installation
Avant d’installer cette mise à jour
Vous devez avoir installé les mises à jour obligatoires suivantes avant d’appliquer cette mise à jour. Si vous utilisez Windows Update, ces mises à jour obligatoires vous seront proposées automatiquement, si nécessaire.
-
Vous devez avoir installé la mise à jour SHA-2 (KB4474419) du 23 septembre 2019 ou une mise à jour SHA-2 ultérieure, puis redémarrer votre appareil avant d’appliquer cette mise à jour. Pour plus d’informations sur les mises à jour SHA-2, consultez l’article Obligation de prise en charge de la signature du code SHA-2 2019 pour Windows et WSUS.
-
Pour Windows Server 2008 R2 SP1, vous devez avoir installé la mise à jour de la pile de maintenance (SSU) (KB4490628) datée du 12 mars 2019. Une fois la mise à jour KB4490628 installée, il est recommandé d’installer la dernière mise à jour SSU. Pour plus d’informations sur les dernières mises à jour SSU, consultez l’avis ADV990001 | Dernières mises à jour de la pile de maintenance.
-
Pour Windows Server 2008 SP2, vous devez avoir installé la mise à jour de la pile de maintenance (SSU) (KB4493730) datée du 9 avril 2019. Une fois la mise à jour KB4493730 installée, il est recommandé d’installer la dernière mise à jour SSU. Pour plus d’informations sur les dernières mises à jour SSU, consultez l’avis ADV990001 | Dernières mises à jour de la pile de maintenance.
-
Vous devez acheter la mise à jour de sécurité étendue (ESU) pour les versions locales de Windows Server 2008 SP2 ou de Windows Server 2008 R2 SP1 après la date de fin du support étendu fixée au 14 janvier 2020. Si vous avez acheté la mise à jour de sécurité étendue (ESU), vous devez suivre les procédures décrites dans l’article KB4522133 pour continuer à recevoir les mises à jour de sécurité. Pour plus d’informations sur la mise à jour ESU et sur les éditions prises en charge, consultez l’article KB4497181.
Important Vous devez redémarrer votre appareil après avoir installé ces mises à jour obligatoires.
Installez toutes les mises à jour
Pour corriger la vulnérabilité, installez toutes les mises à jour Windows et activez le mode de mise en conformité en procédant comme suit :
-
Déployez au moins une des mises à jour publiées entre le 8 décembre 2020 et le 9 mars 2021 vers tous les contrôleurs de domaine Active Directory dans la forêt.
-
Déployez la mise à jour du 12 avril 2021 au moins une semaine après l’étape 1.
-
Une fois tous les contrôleurs de domaine Active Directory mis à jour, attendez au moins une semaine entière pour autoriser l’expiration de tous les tickets de service Kerberos S4U2self (User to Self) en suspens, afin de permettre l’activation de la protection complète en déployant le mode de mise en conformité du contrôleur de domaine Active Directory.
Remarques-
Si vous avez modifié les délais d’expiration des tickets de service Kerberos (la valeur par défaut est de 7 jours), la période d’attente correspond au nombre de jours configuré dans votre environnement.
-
Ces étapes supposent que PerformTicketSignature n’a jamais été défini sur 0 dans votre environnement. Si PerformTicketSignature a été défini sur 0, vous devez passer au paramètre 1 avant de passer au paramètre 2 (mode de mise en conformité) et attendre au moins une semaine pour permettre à tous les tickets de service Kerberos S4U2self (User to Self) en suspens d’arriver à expiration. Il est recommandé de ne pas passer directement du paramètre 0 au paramètre 2 (Mode de mise en conformité).
-
Étape 1 : installer les mises à jour Windows
Installez la mise à jour Windows du 8 décembre 2020 appropriée ou une mise à jour Windows ultérieure sur tous les appareils qui hébergent le rôle de contrôleur de domaine Active Directory dans la forêt, y compris les contrôleurs de domaine en lecture seule.
|
Produit Windows Server |
N° article |
Type de mise à jour |
|
Windows Server version 20H2 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server version 2004 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server version 1909 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server version 1903 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server 2019 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server 2019 |
Mise à jour de sécurité |
|
|
Windows Server 2016 (installation Server Core) |
Mise à jour de sécurité |
|
|
Windows Server 2016 |
Mise à jour de sécurité |
|
|
Windows Server 2012 R2 (installation Server Core) |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2012 R2 |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2012 (installation Server Core) |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2012 |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2008 R2 Service Pack 1 |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
||
|
Windows Server 2008 Service Pack 2 |
Correctif cumulatif mensuel |
|
|
Sécurité uniquement |
Étape 2 : Activer le mode de mise en conformité
Après avoir mis à jour tous les appareils qui hébergent le rôle de contrôleur de domaine Active Directory, attendez au moins une semaine entière pour permettre à tous les tickets de service Kerberos S4U2self en suspens d’arriver à expiration. Ensuite, activez la protection complète en déployant le mode de mise en conformité. Pour ce faire, activez la clé de Registre du mode de mise en conformité.
Avertissement Toute modification incorrecte du Registre à l’aide de l’Éditeur du Registre ou d’une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent vous obliger à réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous modifiez le Registre à vos risques et périls.
Remarque Cette mise à jour introduit la prise en charge pour la valeur de clé du Registre suivant afin d’activer le mode de mise en conformité. L’installation de cette mise à jour ne crée pas la valeur du Registre. Vous devez ajouter cette valeur du Registre manuellement.
|
Sous-clé de Registre |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Valeur |
PerformTicketSignature |
|
Type de données |
REG_DWORD |
|
Données |
1 : active le mode de mise en conformité. Le correctif est activé sur le contrôleur de domaine, mais le contrôleur de domaine Active Directory n’exige pas que les tickets de service Kerberos soient conformes au correctif. Ce mode ajoute une prise en charge des signatures de ticket sur les contrôleurs de domaine mis à jour pour CVE-2020-17049, mais les contrôleurs de domaine n’exigent pas de signature de tickets. Cela permet la coexistence de la phase de déploiement initiale (contrôleurs de domaine mis à jour selon la mise à jour de déploiement initiale datée de décembre) et de contrôleurs de domaine mis à jour. Quand tous les contrôleurs de domaine sont mis à jour et disposent du paramètre 1, tous les nouveaux tickets sont signés. Dans ce mode, les nouveaux tickets seront marqués comme renouvelables. 2 : active le mode de mise en conformité. Ce paramètre active le correctif dans le mode selon lequel tous les domaines doivent être mis à jour et tous les contrôleurs de domaine Active Directory exigent des tickets de service Kerberos avec des signatures. Avec ce paramètre, tous les tickets doivent être signés pour être considérés comme valides. Dans ce mode, les tickets sont à nouveau marqués comme étant renouvelables. 0 : cette valeur n’est pas recommandée. Désactive la signature des tickets de service Kerberos et les domaines ne sont pas protégés. Important : le paramètre 0 n’est pas compatible avec le paramètre de mise en conformité 2. Des échecs d’authentification intermittents peuvent se produire si le mode de mise en conformité est appliqué ultérieurement alors que le domaine est configuré avec le paramètre 0. Il est recommandé d’activer le paramètre 1 avant la phase de mise en conformité (au moins une semaine avant cette phase). |
|
Valeur par défaut |
1 (si la clé de Registre n’est pas définie) |
|
Redémarrage nécessaire ? |
Non |
