חשוב: תאריכי ההפצה שצוינו בעבר במאמר זה השתנו. שים לב לתאריכי ההפצה החדשים במקטעים ' בצע פעולה ' ו-' תזמון של עדכונים אלה של Windows '.
סיכום
קיימת פגיעות של עקיפת תכונת אבטחה באופן שבו מרכז ההפצה של המפתח (KDC) קובע אם ניתן להשתמש בכרטיס שירות kerberos עבור הקצאה באמצעות הקצאה מוגבלת של kerberos (KCD). כדי לנצל את הפגיעות, שירות מתפשר שתצורתו נקבעה לשימוש ב-KCD עשוי להיות שימוש בכרטיס שירות Kerberos שאינו חוקי עבור הקצאה כדי לאלץ את ה-KDC לקבל אותו. עדכונים אלה של Windows מטפלים בפגיעות זו על-ידי שינוי האופן שבו KDC מאמת כרטיסי שירות של Kerberos הנמצאים בשימוש עם KCD.
לקבלת מידע נוסף אודות פגיעות זו, ראה CVE-2020-17049.
נקיטת פעולה כדי להגן על הסביבה שלך ולמנוע הפסקות, עליך לבצע את כל השלבים הבאים:
|
תזמון של עדכוני Windows אלה
עדכוני Windows אלה יפורסמו בשלושה שלבים:
-
שלב הפריסה ההתחלתי עבור עדכוני Windows שהופצו ב-8 בדצמבר או אחרי ה-8 בדצמבר 2020.
-
שלב פריסה שני המסיר את הגדרת PerformTicketSignature0 ומחייב הגדרה 1 או 2, ב-13 באפריל או אחריה, 2021.
-
שלב האכיפה של עדכוני Windows שהופצו ב-13 ביולי, 2021.
ה-8 בדצמבר 2020: שלב הפריסה ההתחלתי
שלב הפריסה ההתחלתי מתחיל ב-Windows update שהופצו ב-8 בדצמבר 2020 וממשיך בעדכון Windows מאוחר יותר עבור שלב האכיפה. עדכונים אלה ואילך של Windows מבצע שינויים ב-Kerberos. ב-8 בדצמבר, עדכון 2020 כולל תיקונים עבור כל הבעיות הידועות שהוצגו במקור על-ידי 10 בנובמבר 2020 שחרורו של CVE-2020-17049. עדכון זה מוסיף גם תמיכה עבור Windows Server 2008 SP2 ו-Windows Server 2008 R2.
מהדורה זו:
-
כתובות CVE-2020-17049 (במצב פריסה כברירת מחדל).
-
הוספת תמיכה עבור ערך הרישום של PerformTicketSignature כדי לאפשר הגנה בשרתי בקר תחום של Active Directory. כברירת מחדל, ערך זה אינו קיים.
הפחתת הסיכון כוללת את התקנת העדכונים של Windows בכל המכשירים המארחים את תפקיד בקר התחום של Active Directory ואת בקרי התחום לקריאה בלבד (RODCs) ולאחר מכן הפעלת מצב אכיפה.
ה-13 באפריל 2021: שלב הפריסה השני
שלב הפריסה השני מתחיל בעדכון Windows שפורסם באפריל 13, 2021. שלב זה מסיר את ההגדרה PerformTicketSignature0. הגדרת PerformTicketSignature ל- 0 לאחר התקנת עדכון זה תכלול את אותו אפקט של הגדרת PerformTicketSignature ל- 1. DCs יופיעו במצב פריסה.
הערות
-
שלב זה אינו הכרחי אם PerformTicketSignature מעולם לא הוגדר ל- 0 בסביבה שלך. שלב זה מסייע לך לוודא שהלקוחות שהגדיר PerformTicketSignature ל- 0 מועברים להגדרה 1 לפני שלב האכיפה .
-
עם הפריסה של עדכוני 13 באפריל 2021, הגדרת PerformTicketSignature ל- 1 תגרום להפיכת כרטיסי השירות למתחדשים. זהו שינוי באופן הפעולה מעדכוני Windows של pre-April 2021 בעת הגדרת PerformTicketSignature ל- 1 שגרמו לכרטיסי השירות לא להיות מתחדשים.
-
עדכון זה מניח שכל בקרי התחום מתעדכנים בעדכונים שבוצעו ב-8 בדצמבר 2020 ועדכונים מאוחרים יותר.
-
לאחר התקנת עדכון זה, והגדרת הגדרה ידנית או באופן תוכניתי של PerformTicketSignature ל- 1 או מעלה, בקרי תחומים לא נתמכים של Windows Server לא יפעלו עוד עם בקרי תחום נתמכים. פעולה זו כוללת את Windows Server 2008 ו-Windows Server 2008 R2 ללא עדכוני אבטחה מורחבים (מכש) ו-Windows Server 2003.
השלב החוקי של האכיפה: 13 ביולי 2021
ה-13 ביולי 2021 משחרר מעברים לשלב האכיפה. שלב האכיפה אוכף את השינויים לכתובת CVE-2020-17049. בקרי תחום של Active Directory מסוגלים כעת לאכוף מצב אכיפה. המעבר למצב אכיפה דורש שכל בקרי התחום של Active Directory יהיו בעלי 8 בדצמבר, עדכון 2020 או עדכון מעודכן יותר של Windows. בשלב זה, לא ניתן לעקוף את הגדרות מפתח הרישום של PerformTicketSignature ואין אפשרות לעקוף את מצב האכיפה.
הדרכה להתקנה
לפני התקנת עדכון זה
עליך להתקין את העדכונים הדרושים הבאים לפני החלת עדכון זה. אם אתה משתמש ב-Windows Update, עדכונים נדרשים אלה יוצע באופן אוטומטי לפי הצורך.
-
עליך להיות בעל עדכון SHA-2 (KB4474419) שתאריך ה-23 בספטמבר, 2019 או עדכון SHA-2 מאוחר יותר מותקן ולאחר מכן הפעל מחדש את המכשיר לפני החלת עדכון זה. לקבלת מידע נוסף אודות עדכוני SHA-2, ראה דרישת תמיכה בנושא חתימת קוד של 2019 SHA-2 עבור Windows ו-WSUS.
-
עבור Windows Server 2008 R2 SP1, עליך להתקין את העדכון למחסנית שירות (SSU) (KB4490628) שתאריך 12 במרץ 2019. לאחר התקנת עדכון KB4490628 , מומלץ להתקין את העדכון האחרון של SSU. לקבלת מידע נוסף אודות העדכון האחרון של SSU, ראה ADV990001 | עדכוני אוסף שירות אחרונים.
-
עבור Windows Server 2008 SP2, עליך להתקין את העדכון למחסנית השירות (SSU) (KB4493730) התאריך הוא 9 באפריל 2019. לאחר התקנת עדכון KB4493730 , מומלץ להתקין את העדכון האחרון של SSU. לקבלת מידע נוסף אודות העדכונים האחרונים של SSU, ראה ADV990001 | עדכוני אוסף שירות אחרונים.
-
הלקוחות נדרשים לרכוש את עדכון האבטחה המורחב ( של ה-אס-אס) עבור גירסאות מקומיות של Windows SERVER 2008 SP2 או Windows Server 2008 R2 SP1 לאחר שהתמיכה המורחבת הסתיימה ב-14 בינואר 2020. לקוחות שרכשו את ה-אס-אס חייבים לפעול בהתאם להליכים ב- KB4522133 כדי להמשיך לקבל עדכוני אבטחה. לקבלת מידע נוסף אודות הוראות של ה-it ואילו מהדורות נתמכות, ראה KB4497181.
חשוב עליך להפעיל מחדש את המכשיר לאחר התקנת העדכונים הנדרשים.
התקנת כל העדכונים
כדי לפתור את פגיעות האבטחה, התקן את כל העדכונים של Windows והפעל את מצב האכיפה על-ידי ביצוע השלבים הבאים:
-
פרוס לפחות אחד מהעדכונים שבין 8 בדצמבר 2020 ו-9 במרץ 2021 לכל בקרי התחומים של Active Directory ביער.
-
פריסת ה-12 באפריל 2021 מעדכן לפחות שבוע אחד או יותר לאחר שלב 1.
-
לאחר העדכון של כל בקרי התחומים של Active Directory, המתן לפחות שבוע מלא כדי לאפשר תוקף של כל שירות ' מצטיין ' עבור המשתמש לקבלת כרטיסים לשירות עצמי (S4U2self) של Kerberos ולאחר מכן ניתן להפעיל הגנה מלאה על-ידי פריסת מצב אכיפה של בקר התחום של active Directory.
ערות-
אם שינית את זמני התפוגה של כרטיס שירות Kerberos מתוך הגדרות ברירת המחדל (ברירת המחדל היא 7 ימים), עליך להמתין לפחות מספר הימים שנקבעו בסביבה שלך.
-
שלבים אלה מניחים שPerformTicketSignature מעולם לא הוגדר ל- 0 בסביבה שלך. אם PerformTicketSignature מוגדר ל- 0, עליך לעבור להגדרה 1 לפני המעבר להגדרת ההגדרה 2 (מצב אכיפה) ולהמתין לפחות שבוע כדי לאפשר תוקף של כרטיסי שירות של Kerberos למשתמש עצמאי (S4U2self). אין להזיז ישירות מהגדרת 0 כדי להגדיר 2 (מצב אכיפה).
-
שלב 1: התקנת עדכוני Windows
התקן את Windows update המתאים ב-8 בדצמבר 2020 או עדכון מעודכן יותר של Windows לכל המכשירים שמארחים את תפקיד בקר התחום של Active Directory ביער, כולל בקרי תחום לקריאה בלבד.
מוצר Windows Server |
KB # |
סוג העדכון |
Windows Server, גירסה 20H2 (התקנת שרת הליבה) |
עדכון אבטחה |
|
Windows Server, גירסה 2004 (התקנת שרת ליבה) |
עדכון אבטחה |
|
Windows Server, גירסה 1909 (התקנת שרת ליבה) |
עדכון אבטחה |
|
Windows Server, גירסה 1903 (התקנת שרת ליבה) |
עדכון אבטחה |
|
Windows Server 2019 (התקנת שרת ליבות) |
עדכון אבטחה |
|
Windows Server 2019 |
עדכון אבטחה |
|
Windows Server 2016 (התקנת שרת ליבות) |
עדכון אבטחה |
|
Windows Server 2016 |
עדכון אבטחה |
|
Windows Server 2012 R2 (התקנת שרת ליבות) |
סיכום חודשי |
|
אבטחה בלבד |
||
Windows Server 2012 R2 |
סיכום חודשי |
|
אבטחה בלבד |
||
Windows Server 2012 (התקנת שרת ליבות) |
סיכום חודשי |
|
אבטחה בלבד |
||
Windows Server 2012 |
סיכום חודשי |
|
אבטחה בלבד |
||
Windows Server 2008 R2 Service Pack 1 |
סיכום חודשי |
|
אבטחה בלבד |
||
Windows Server 2008 Service Pack 2 |
סיכום חודשי |
|
אבטחה בלבד |
שלב 2: הפיכת מצב אכיפה לזמין
לאחר שכל המכשירים שמארחים את תפקיד בקר התחום של Active Directory עודכנו, המתן לפחות שבוע שלם כדי לאפשר תוקף של כל כרטיסי השירות הייחודיים של S4U2self Kerberos. לאחר מכן, אפשר הגנה מלאה על-ידי פריסת מצב אכיפה. לשם כך, הפוך את מפתח הרישום של מצב אכיפה לזמין.
אזהרה בעיות רציניות עשויות להתרחש אם אתה משנה את הרישום באופן שגוי באמצעות עורך הרישום או באמצעות שיטה אחרת. בעיות אלה עשויות לדרוש ממך להתקין מחדש את מערכת ההפעלה. Microsoft אינה יכולה להבטיח שבעיות אלה ייפתרו. שנה את הרישום באחריותך בלבד.
הערה עדכון זה מציג תמיכה עבור ערך הרישום הבא כדי לאפשר מצב אכיפה. ערך רישום זה אינו נוצר על-ידי התקנת עדכון זה. עליך להוסיף ערך רישום זה באופן ידני.
מפתח משנה של רישום |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
ערך |
PerformTicketSignature |
סוג נתונים |
REG_DWORD |
נתונים |
1: הפיכת מצב פריסה לפעיל. התיקון מופעל בבקר התחום, אך בקר התחום של Active Directory אינו מחייב שכרטיסי השירות של Kerberos יתאימו לתיקון. מצב זה מוסיף תמיכה עבור חתימות כרטיסים בבקרי תחום מעודכנים CVE-2020-17049, אך בקרי התחום אינם דורשים כרטיסים לחתימה. פעולה זו מאפשרת שילוב של שלב הפריסה ההתחלתי (DCs מעודכנים לעדכון הפריסה הראשוני של דצמבר) ובקרי תחומים מעודכנים כדי להתקיים בו. כאשר כל בקרי התחום מעודכנים ובהגדרה 1, כל הכרטיסים החדשים יהיו חתומים. במצב זה, כרטיסים חדשים יסומנו כחדשים. 2: מאפשר מצב אכיפה פעולה זו מאפשרת את התיקון במצב נדרש, שבו כל התחומים חייבים להיות מעודכנים וכל בקרי התחום של Active Directory דורשים כרטיסי שירות של Kerberos עם חתימות. עם הגדרה זו, כל הכרטיסים חייבים להיות חתומים כדי להיחשב כחוקיים. במצב זה, כרטיסים יופיעו שוב כמתחדשים. 0: לא מומלץ. הפיכת חתימות של כרטיסי שירות של Kerberos ללא זמינות, והתחומים אינם מוגנים. חשוב ההגדרה 0 אינה תואמת להגדרת אכיפה 2. כשלונות אימות לסירוגין עשויים להתרחש אם מצב אכיפה מוחל בשלב מאוחר יותר, כאשר התחום מוגדר ל- 0. אנו ממליצים ללקוחות לעבור להגדרה 1 לפני שלב האכיפה (לפחות שבוע לפני החלת אכיפה). |
ברירת חדל |
1 (כאשר מפתח הרישום אינו מוגדר) |
האם נדרשת הפעלה מחדש? |
לא |