חשוב התאריך עבור מצב אכיפה כפי שפורסם בעבר במאמר זה השתנה ל- 9 במרץ 2021. |
סיכום
אם אתה משתמש ב'משתמשים מוגנים'וב'הקצאה מוגבלת מבוססת משאבים' (RBCD), ייתכן שיש פגיעות אבטחה בבקרי תחום של Active Directory. כדי ללמוד עוד אודות פגיעות האבטחה, ראה CVE-2020-16996.
הפעולה כדי להגן על הסביבה שלך ולמנוע את ההסתייגות, עליך לבצע את הפעולות הבאות:
|
תזמון עדכונים
עדכונים Windows אלה יופצה בשני שלבים:
-
שלב הפריסה הראשוני עבור עדכוני Windows שהופצה ב- 8 בדצמבר 2020 או לאחר מכן.
-
שלב האכיפה עבור עדכוני Windows שהופצה ב- 9 במרץ 2021 או לאחר מכן.
8 בדצמבר 2020: שלב הפריסה הראשוני
שלב הפריסה הראשוני מתחיל בעדכון Windows שפורסם ב- 8 בדצמבר 2020 וממשיך בעדכון מאוחר Windows עבור שלב האכיפה. עדכונים אלה ואילך Windows שינויים ב- Kerberos.
מהדורה זו:
-
כתובות CVE-2020-16996 (לא זמין כברירת מחדל).
-
מוסיף תמיכה עבור ערך הרישום NonForwardableDelegation כדי לאפשר הגנה בשרתי בקר תחום של Active Directory. כברירת מחדל, הערך אינו קיים.
הפחתת הסיכון מורכבת מהתקנת עדכוני Windows בכל המכשירים שמארחים את תפקיד בקר התחום של Active Directory ובקרי תחום לקריאה בלבד (RODCs) ולאחר מכן הפיכת מצב אכיפה לזמין.
9 במרץ 2021: שלב האכיפה
מעברי ההפצה ב- 9 במרץ 2021 לשלב האכיפה. שלב האכיפה אוכף את השינויים לכתובת CVE-2020-16996. בקרי תחום של Active Directory יהיו כעת במצב אכיפה, אלא אם מפתח הרישום של מצב האכיפה מוגדר ל- 1 (לא זמין). אם מפתח הרישום של מצב אכיפה מוגדר, ההגדרה תוגדר. עבור למצב אכיפה מחייב התקנת העדכון של כל בקרי התחומים של Active Directory ב- 8 בדצמבר 2020 או עדכון מאוחר יותר.
הדרכה בנושא התקנה
לפני התקנת עדכון זה
עליך להתקין את העדכונים הדרושים הבאים לפני החלת עדכון זה. אם אתה משתמש ב Windows Update, עדכונים נדרשים אלה יוצעו באופן אוטומטי כנדרש.
-
דרוש לך עדכון SHA-2 (KB4474419) מתאריך 23 בספטמבר 2019 או עדכון SHA-2 מאוחר יותר ולאחר מכן הפעל מחדש את המכשיר לפני החלת עדכון זה. לקבלת מידע נוסף אודות עדכוני SHA-2, ראה דרישת תמיכה בנושא חתימת קוד SHA-2 2019 עבור Windows ו- WSUS.
-
עבור Windows Server 2008 R2 SP1, עליך להתקין את עדכון מחסנית מתן השירות (SSU) (KB4490628)מתאריך 12 במרץ 2019. לאחר התקנת עדכון KB4490628, מומלץ להתקין את העדכון האחרון של SSU. לקבלת מידע נוסף אודות עדכון SSU האחרון, ראה ADV990001 | עדכוני ערימת מתן השירות האחרונים.
-
עבור Windows Server 2008 SP2, עליך להתקין את עדכון ערימת מתן השירות (SSU) (KB4493730) מתאריך 9 באפריל 2019. לאחר התקנת עדכון KB4493730, מומלץ להתקין את העדכון האחרון של SSU. לקבלת מידע נוסף אודות עדכוני SSU האחרונים, ראה ADV990001 | עדכוני ערימת מתן השירות האחרונים.
-
הלקוחות נדרשים לרכוש את עדכון האבטחה המורחב (ESU) עבור גירסאות מקומיות של Windows Server 2008 SP2 או Windows Server 2008 R2 SP1 לאחר התמיכה המורחבת הסתיימה ב- 14 בינואר 2020. לקוחות שרכשו את ESU חייבים לבצע את ההליכים ב- KB4522133 כדי להמשיך לקבל עדכוני אבטחה. לקבלת מידע נוסף אודות ESU ועל המהדורות הנתמכות, ראה KB4497181.
חשובעליך להפעיל מחדש את המכשיר לאחר התקנת עדכונים נדרשים אלה.
התקנת העדכון
כדי לפתור את פגיעות האבטחה, התקן את עדכוני Windows והאפשר מצב אכיפה על-ידי ביצוע שלבים אלה.
אזהרה בעיות אימות לסירוגין עלולות להתרחש אם עדכונים Windows אלה וערך הרישום מוחלים באופן לא עקבי באחד מהתרחישים הבאים או בשני התרחישים הבאים:
חשוב יש להחיל Windows וערך הרישום באופן עקבי בבקרי תחום של All Active Directory בסביבה שלך. |
שלב 1: התקנת Windows העדכון
התקן את עדכון Windows 8 בדצמבר 2020 או עדכון Windows יותר לכל המכשירים שמארחים את תפקיד בקר התחום של Active Directory ביער, כולל בקרי תחום לקריאה בלבד.
Windows Server |
KB # |
סוג העדכון |
Windows Server, גירסה 20H2 (התקנת ליבה של שרת) |
עדכון אבטחה |
|
Windows Server, גירסה 2004 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server, גירסה 1909 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server, גירסה 1903 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server 2019 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server 2019 |
עדכון אבטחה |
|
Windows Server 2016 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server 2016 |
עדכון אבטחה |
|
Windows Server 2012 R2 (התקנת Server Core) |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2012 R2 |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2012 (התקנת Server Core) |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2012 |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2008 R2 Service Pack 1 |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2008 Service Pack 2 |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
שלב 2: הפיכת מצב אכיפה לזמין
לאחר עדכון כל המכשירים שמארחים את תפקיד בקר התחום של Active Directory, המתן לפחות יום שלם כדי לאפשר לתוקף של כל כרטיסי השירות של משתמש בשירות עצמי (S4U2self) Kerberos. לאחר מכן, הפוך הגנה מלאה לזמינה על-ידי פריסת מצב אכיפה. לשם כך, הפוך את מפתח הרישום של מצב אכיפה לזמין.
אזהרה בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי באמצעות עורך הרישום או באמצעות שיטה אחרת. בעיות אלה עשויות לדרוש התקנה מחדש של מערכת ההפעלה. Microsoft אינה יכולה להבטיח כי ניתן לפתור בעיות אלה. שנה את הרישום על הסיכון שלך.
הערה ערך רישום זה אינו נוצר על-ידי התקנת עדכון זה. עליך להוסיף ערך רישום זה באופן ידני.
מפתח משנה של הרישום |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
ערך |
NonForwardableDelegation |
סוג נתונים |
REG_DWORD |
נתונים |
1: הפיכת מצב אכיפה ללא זמין. 0: הפעלת מצב אכיפה. זהו המצב המוגן. |
ברירת מחדל |
1 |
האם נדרשת הפעלה מחדש? |
לא |
הערות אודות ערך הרישום
"NonForwardableDelegation":
-
אם ערך הרישום מוגדר, תהיה לו קדימות על-פני הגדרת מצב האכיפה הכלולה ב- 9 במרץ 2021 Windows עדכונים.
-
אם ערך הרישום מוגדר ל- 1 (הפוך ללא זמין), העברה מותרת בכרטיסי שירות של Kerberos שלא מסומנים כניתנים לעבירה.
-
אם ערך הרישום מוגדר ל- 0 (הפוך לזמין), העברה לא תתאפשר בכרטיסי שירות של Kerberos שלא מסומנים כניתנים לעבירה.
-
-
אם התחום שלך כולל בקרי Windows Server 2008 R2 או בקרי תחום גרסאות קודמות של Active Directory, אין צורך להגדיר מצב אכיפה מאחר שבקרי תחום אלה אינם תומכים ב- RBCD.
-
כשל בעדכון עקבי של כל בקרי התחום של Active Directory בעת הפעלת מצב אכיפה יגרום לכשלים בהפלגת שירות לסירוגין.
-
לפני הגדרת מצב אכיפה:
-
יש לעדכן את כל בקרי התחומים של Active Directory בעדכון של 8 בדצמבר 2020 Windows או עדכון Windows מאוחר יותר, ו-
-
תוקפם של כל כרטיסי השירות של S4USelf Kerberos חייב לפוג על-ידי המתנה של יום לאחר השלמת פריסת Windows עדכון לכל בקרי התחומים של Active Directory.
-
שיקולים נוספים
כאשר הגנה זו זמינה, היא מאחדת את הלוגיקה עבור Resource-Based הקצאה מוגבלת (RBCD) עם הקצאה מאולצת המקורית. הדבר עלול לגרום לבעיות בשני התרחישים הבאים:
-
שירות יחיד משתמש בו-זמנית בהפלגה מוגבלת (KCD) של Kerberos מקורית ללא מעבר פרוטוקול ליעד אחד בזמן שהוא משתמש ב- RBCD עם מעבר פרוטוקול לאחר. לאחר שינוי זה, מעבר מניעת הפרוטוקול יחול על שני סגנונות הקצאה.
-
RBCD משמש בתחום המשתמש בבקרי תחום שלא מתעדכנים ב- CVE-2020-16996 או בגירסאות קודמות של Windows Server (ישנות יותר מ- Window Server 2012) שלא כוללות עדכון זמין עבור CVE-2020-16996. מרכזי הפצת המפתחות (KDCs) שלא עודכנו לא יסמןו את כרטיסי השירות של S4USelf Kerberos כ"בסדר" עבור הקצאה ומעבר פרוטוקול תדחה.