Važno: Promjene datuma objavljivanja prethodno navedenih u ovom članku su se promijenile. Napomena o novim izdanjevima izdanja potražite u odjeljku "akcija poduzmi" i "tempiranje ovih ažuriranja sustava Windows".
Sažetak
Mogućnost zaobilaženja sigurnosnog prikaza u centru za distribuciju (KDC) određuje može li se za izaslanstvo u delegaciji putem Kerberos Da bi se iskoristio ranjivost, kompromitirani servis koji je konfiguriran za korištenje KCD-a mogao bi utjecati na karticu servisa Kerberos koja nije valjana za delegiranje da bi ga prisili da ga prihvati. Ta ažuriranja u sustavu Windows Adresirat će tu ranjivost promjenom načina na koji KDC provjerava kartice servisa Kerberos koje se koriste s KCD-om.
Dodatne informacije o toj ranjivosti potražite u članku CVE-2020-17049.
Poduzmi akcije Da biste zaštitili svoj okoliš i spriječili nestane, morate pratiti sve sljedeće korake:
|
Tempiranje ovih ažuriranja za Windows
Ova ažuriranja za Windows bit će objavljena u tri faze:
-
Početna faza implementacije za ažuriranja u sustavu Windows objavljena ili nakon 8. prosinca 2020.
-
Druga faza uvođenja koja uklanja postavku Performticketsignature0 i zahtijeva postavku 1 ili 2, na ili nakon travnja 13, 2021.
-
Faza provedbe za ažuriranja za Windows objavljena u srpnju 13., 2021.
8. prosinca 2020: faza početne implementacije
Početna faza implementacije započinje pomoću servisa Windows Update objavljenom u prosincu 8, 2020, a nastavlja se s kasnijim ažuriranjem sustava Windows za fazu provedbe. Ta i novija ažuriranja sustava Windows mijenjaju se u Kerberos. Ovaj Prosinac 8, 2020 Update sadrži ispravke za sve poznate probleme koje je prvobitno uveo 10. studenog 2020, izdanje CVE-2020-17049. Ovo ažuriranje dodaje i podršku za Windows Server 2008 SP2 i Windows Server 2008 R2.
Ovo izdanje:
-
Adrese CVE-2020-17049 (u načinu implementacije po zadanom).
-
Dodaje podršku za vrijednost registra Performticketsignature radi omogućivanja zaštite na poslužiteljima kontrolera domene servisa Active Directory. Ta vrijednost po zadanom ne postoji.
Ublažavanje promjene sastoji se od instalacije ažuriranja sustava Windows na svim uređajima koji su domaćin uloge kontrolera domene Active Directory i kontroleri domena samo za čitanje (RODCs), a zatim Omogućavanje načina provedbe.
13. travnja 2021: druga faza implementacije
Druga faza implementacije počinje pomoću servisa Windows Update izdan 13. travnja 2021. Ova faza uklanja postavku Performticketsignature0. Postavljanje Performticketsignatura na 0 nakon instalacije ovog ažuriranja imat će isti učinak kao i postavljanje performticketsignature na 1. Funkcija DB bit će u načinu implementacije.
Napomene
-
Ova faza nije potrebna ako Performticketsignature nikada nije postavljen na 0 u vašem okruženju. Ova faza pridonosi tome da se korisnici koji su postavili Performticketsignature na 0 premještaju na postavku 1 prije faze provedbe .
-
Uz implementaciju ažuriranja za Travanj 13, 2021, postavljanje Performticketsignature na 1 omogućit će obnovljive servisne karte. To je promjena u ponašanju od pre-Travanj 2021 ažuriranja sustava Windows prilikom postavljanja Performticketsignature na 1 koji je uzrokovao neobnovljive ulaznice za servis.
-
Ovo ažuriranje pretpostavlja da se svi kontroleri domena ažuriraju pomoću ažuriranja ili novija ažuriranja za 2020.
-
Kada instalirate ovo ažuriranje i ručno ili programsko postavljanje Performticketsignature na 1 ili noviji, nepodržani Kontroleri domene sustava Windows neće više raditi s podržanim kontrolorima domena. To obuhvaća Windows Server 2008 i Windows Server 2008 R2 bez proširenih sigurnosnih ažuriranja (ESU) i Windows Server 2003.
Srpanj 13, 2021: faza provedbe
Srpanj 13, 2021 release prijelaze u fazu provedbe. Faza provedbe nameće promjene u adresi CVE-2020-17049. Kontroleri domena servisa Active Directory sada su sposobni za provedbu načina rada. U načinu rada za provedbu zahtijeva se da svi kontroleri domena servisa Active Directory imaju instaliran Update za Prosinac 8, 2020 ili noviji Windows Update. U ovom će se trenutku postavke ključa registra Performticketsignature ignorirati i način provedbe nije moguće nadjačati.
Upute za instalaciju
Prije instaliranja ovog ažuriranja
Da biste primijenili ovo ažuriranje, morate imati instaliranu sljedeću potrebnu nadogradnju. Ako koristite Windows Update, ta će se obavezna ažuriranja ponuditi automatski po potrebi.
-
Morate imati verziju SHA-2 Update (KB4474419) koja datira iz rujna 23, 2019 ili novije ažuriranje Sha-2, a zatim ponovno pokrenite uređaj prije nego što primijenite ovo ažuriranje. Dodatne informacije o promjenama u programu SHA-2 potražite u članku 2019 Sha-2 kod potpisivanja zahtjeva za podršku za Windows i WSUS.
-
Za Windows Server 2008 R2 SP1 morate imati instaliran servis za ažuriranje stog (SSU) (KB4490628) koji je datirani Ožujak 12, 2019. Kada instalirate Update KB4490628 , preporučujemo vam da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijem ažuriranju SSU-a potražite u članku ADV990001 | Najnovija ažuriranja stogservisa.
-
Za Windows Server 2008 SP2 morate imati instaliran servis za ažuriranje stog (SSU) (KB4493730) koji je datiran od travnja 9, 2019. Kada instalirate Update KB4493730 , preporučujemo vam da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijim promjenama u SSU-u potražite u članku ADV990001 | Najnovija ažuriranja stogservisa.
-
Kupci su obavezni kupiti prošireno Sigurnosno ažuriranje (ESU) za lokalne verzije sustava Windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 nakon proširene podrške koja je završila u siječnju 14., 2020. Kupci koji su kupili ESU moraju pratiti procedure u KB4522133 da bi nastavili primati sigurnosne ažuriranja. Dodatne informacije o ESU i izdanjima koji su podržani potražite u članku KB4497181.
Važno Nakon instalacije tih potrebnih ažuriranja morate ponovno pokrenuti uređaj.
Instalacija svih ažuriranja
Da biste riješili sigurnosnu ranjivost, instalirajte sva ažuriranja u sustavu Windows i omogućite provedbu način rada tako da slijedite ove korake:
-
Implementirajte najmanje jedno od ažuriranja između 8. prosinca 2020 i Ožujak 9, 2021 u sve kontrolori domena servisa Active Directory u šumi.
-
Implementacija 12. travnja 2021 ažurirati najmanje jedan ili više tjedana nakon prvog koraka.
-
Nakon ažuriranja svih kontrolera domena servisa Active Directory, Pričekajte najmanje cijeli tjedan da biste dopustili svim neizvršenim servisima za korisnike (S4U2self) Kerberos servisne karte da izbudu, a zatim potpunu zaštitu možete omogućiti tako da implementirate način provedbe kontrolora domene servisa Active Directory.
Bilješke-
Ako ste promijenili vrijeme isteka ulaznice za Kerberos iz zadanih postavki (zadano je 7 dana), morate čekati najmanje broj dana kao što je konfigurirano u vašem okruženju.
-
U sljedećim se koracima pretpostavlja da Performticketsignature nikada nije postavljen na 0 u vašem okruženju. Ako je Performticketsignature postavljen na 0, morate se premjestiti na postavku 1 prije premještanja na postavku 2 (provedba mode) i čekati najmanje tjedan dana da biste dozvolili da svi otvoreni servisi za korisnika u samostalnu (S4U2self) Kerberos usluge ulaznice isteču. Ne morate se kretati izravno od postavljanja 0 do postavke 2 (način provedbe).
-
Prvi korak: instalacija ažuriranja za Windows
Instalirajte odgovarajuće Windows Update za Prosinac 8, 2020 ili noviji Windows Update na sve uređaje koji su domaćini uloge kontrolora domene servisa Active Directory u šumi, uključujući kontrolori domena samo za čitanje.
Proizvod sa sustavom Windows Server |
KB # |
Vrsta ažuriranja |
Windows Server, verzija 20H2 (Instalacija jezgre poslužitelja) |
Sigurnosno ažuriranje |
|
Windows Server, verzija 2004 (Instalacija jezgre poslužitelja) |
Sigurnosno ažuriranje |
|
Windows Server, verzija 1909 (Instalacija jezgre poslužitelja) |
Sigurnosno ažuriranje |
|
Windows Server, verzija 1903 (Instalacija jezgre poslužitelja) |
Sigurnosno ažuriranje |
|
Windows Server 2019 (Instalacija jezgre poslužitelja) |
Sigurnosno ažuriranje |
|
Windows Server 2019 |
Sigurnosno ažuriranje |
|
Windows Server 2016 (Instalacija jezgre poslužitelja) |
Sigurnosno ažuriranje |
|
Windows Server 2016 |
Sigurnosno ažuriranje |
|
Windows Server 2012 R2 (Instalacija jezgre poslužitelja) |
Mjesečna kumulativna vrijednost |
|
Samo sigurnost |
||
Windows Server 2012 R2 |
Mjesečna kumulativna vrijednost |
|
Samo sigurnost |
||
Windows Server 2012 (Instalacija jezgre poslužitelja) |
Mjesečna kumulativna vrijednost |
|
Samo sigurnost |
||
Windows Server 2012 |
Mjesečna kumulativna vrijednost |
|
Samo sigurnost |
||
Servisni paket 1 za Windows Server 2008 R2 |
Mjesečna kumulativna vrijednost |
|
Samo sigurnost |
||
Windows Server 2008, servisni paket 2 |
Mjesečna kumulativna vrijednost |
|
Samo sigurnost |
Drugi korak: Omogućivanje rada za provedbu
Nakon ažuriranja svih uređaja koji su domaćini uloge kontrolera domene servisa Active Directory, Pričekajte najmanje cijeli tjedan da biste dopustili da svi neplaćeni ulaznice za S4U2self Kerberos istekne. Zatim omogućite potpunu zaštitu tako da implementirate način provedbe. Da biste to učinili, omogućite ključ registra rada za provedbu.
Upozorenje Ako neispravno mijenjate registar pomoću uređivača registra ili pomoću nekog drugog načina, može doći do ozbiljnih problema. Za te probleme možda će biti potrebno ponovno instalirati operacijski sustav. Microsoft ne može jamčiti da će se ti problemi riješiti. Izmijenite registar na vlastitu odgovornost.
Napomena Ovo ažuriranje uvodi podršku za sljedeću vrijednost registra da bi se omogućio način provedbe. Ta se vrijednost registra ne stvara tako da instalirate ovo ažuriranje. Ovu vrijednost registra morate dodati ručno.
Potključ registra |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Vrijednost |
Performticketsignatura |
Vrsta podataka |
REG_DWORD |
Podataka |
1: omogućuje način implementacije. Popravak je omogućen na kontroleru domene, ali kontroler domene servisa Active Directory ne zahtijeva da karte za servis Kerberos odgovaraju ispravci. U ovom se načinu rada dodaje podrška za potpise ulaznica na CVE-2020-17049 ažuriranim kontrolorima domena, ali kontrolorima domena nisu potrebne ulaznice za potpisivanje. Time se omogućuje miješanje početne faze implementacije (DB-a ažuriranih na početno ažuriranje implementacije) i ažuriranim kontrolorima domena za koegzistiranje. Kada se svi kontroleri domena ažuriraju i na prvojpostavci, svi novi ulaznice bit će potpisani. U ovom načinu rada nove karte bit će označene kao obnovljivih izvora. 2: omogućuje način rada za provedbu to omogućuje ispravljanje u potrebnom načinu rada u kojem se moraju ažurirati sve domene i svi kontroleri domena servisa Active Directory zahtjevaju karte za servis Kerberos s potpisima. Uz tu postavku sve karte moraju biti potpisane da bi se smatralo važećom. U ovom načinu rada ulaznice će se ponovno označiti kao obnovljivih izvora. 0: nije preporučeno. Onemogućuje potpise servisnih ulaznica u programu Kerberos, a domene nisu zaštićene. Važno Postavka 0 nije kompatibilna s postavkom primjena 2. Povremeni pogreške prilikom provjere autentičnosti mogu se pojaviti ako se način primjene Primijeni kasnije, dok je domena postavljena na 0. Korisnicima preporučujemo da se presele na postavku 1 prije faze provedbe (najmanje tjedan dana prije primjene provedbe). |
Zadani |
1 (kada nije postavljen ključ registra) |
Je li potrebno ponovno pokrenuti? |
Ne |