Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Važno: Promjene datuma objavljivanja prethodno navedenih u ovom članku su se promijenile. Napomena o novim izdanjevima izdanja potražite u odjeljku "akcija poduzmi" i "tempiranje ovih ažuriranja sustava Windows".

Sažetak

Mogućnost zaobilaženja sigurnosnog prikaza u centru za distribuciju (KDC) određuje može li se za izaslanstvo u delegaciji putem Kerberos Da bi se iskoristio ranjivost, kompromitirani servis koji je konfiguriran za korištenje KCD-a mogao bi utjecati na karticu servisa Kerberos koja nije valjana za delegiranje da bi ga prisili da ga prihvati. Ta ažuriranja u sustavu Windows Adresirat će tu ranjivost promjenom načina na koji KDC provjerava kartice servisa Kerberos koje se koriste s KCD-om.

Dodatne informacije o toj ranjivosti potražite u članku CVE-2020-17049

Poduzmi akcije

Da biste zaštitili svoj okoliš i spriječili nestane, morate pratiti sve sljedeće korake:

  1. Ažurirajte sve uređaje koji su domaćini ulozi kontrolera domene Active Directory tako da instalirate najmanje jedno od ažuriranja za Windows između 8. prosinca, 2020 i Ožujak 9, 2021. Imajte na umu da instalacija servisa Windows Update neće u potpunosti ublažiti sigurnosnu slabu točku. Morate obaviti i korak 2 i 3.

  2. Ažurirajte sve uređaje koji se nalaze u ulozi kontrolera domene servisa Active Directory tako da instalirate 13 Travanj 2021 Windows Update.

  3. Omogućivanje Način provedbe na svim kontrolorima domena servisa Active Directory.

  4. Počevši od srpnja 13, 2021 ažuriranje faze provedbe, način provedbe bit će omogućen na svim kontrolorima domena sustava Windows.

Tempiranje ovih ažuriranja za Windows

Ova ažuriranja za Windows bit će objavljena u tri faze:

  • Početna faza implementacije za ažuriranja u sustavu Windows objavljena ili nakon 8. prosinca 2020.

  • Druga faza uvođenja koja uklanja postavku Performticketsignature0 i zahtijeva postavku 1 ili 2, na ili nakon travnja 13, 2021.

  • Faza provedbe za ažuriranja za Windows objavljena u srpnju 13., 2021.

8. prosinca 2020: faza početne implementacije

Početna faza implementacije započinje pomoću servisa Windows Update objavljenom u prosincu 8, 2020, a nastavlja se s kasnijim ažuriranjem sustava Windows za fazu provedbe. Ta i novija ažuriranja sustava Windows mijenjaju se u Kerberos. Ovaj Prosinac 8, 2020 Update sadrži ispravke za sve poznate probleme koje je prvobitno uveo 10. studenog 2020, izdanje CVE-2020-17049. Ovo ažuriranje dodaje i podršku za Windows Server 2008 SP2 i Windows Server 2008 R2.

Ovo izdanje:

  • Adrese CVE-2020-17049 (u načinu implementacije po zadanom).

  • Dodaje podršku za vrijednost registra Performticketsignature radi omogućivanja zaštite na poslužiteljima kontrolera domene servisa Active Directory. Ta vrijednost po zadanom ne postoji.

Ublažavanje promjene sastoji se od instalacije ažuriranja sustava Windows na svim uređajima koji su domaćin uloge kontrolera domene Active Directory i kontroleri domena samo za čitanje (RODCs), a zatim Omogućavanje načina provedbe.

13. travnja 2021: druga faza implementacije

Druga faza implementacije počinje pomoću servisa Windows Update izdan 13. travnja 2021. Ova faza uklanja postavku Performticketsignature0. Postavljanje Performticketsignatura na 0 nakon instalacije ovog ažuriranja imat će isti učinak kao i postavljanje performticketsignature na 1. Funkcija DB bit će u načinu implementacije.

Napomene

  • Ova faza nije potrebna ako Performticketsignature nikada nije postavljen na 0 u vašem okruženju. Ova faza pridonosi tome da se korisnici koji su postavili Performticketsignature na 0 premještaju na postavku 1 prije faze provedbe .

  • Uz implementaciju ažuriranja za Travanj 13, 2021, postavljanje Performticketsignature na 1 omogućit će obnovljive servisne karte. To je promjena u ponašanju od pre-Travanj 2021 ažuriranja sustava Windows prilikom postavljanja Performticketsignature na 1 koji je uzrokovao neobnovljive ulaznice za servis.

  • Ovo ažuriranje pretpostavlja da se svi kontroleri domena ažuriraju pomoću ažuriranja ili novija ažuriranja za 2020.

  • Kada instalirate ovo ažuriranje i ručno ili programsko postavljanje Performticketsignature na 1 ili noviji, nepodržani Kontroleri domene sustava Windows neće više raditi s podržanim kontrolorima domena. To obuhvaća Windows Server 2008 i Windows Server 2008 R2 bez proširenih sigurnosnih ažuriranja (ESU) i Windows Server 2003.

Srpanj 13, 2021: faza provedbe

Srpanj 13, 2021 release prijelaze u fazu provedbe. Faza provedbe nameće promjene u adresi CVE-2020-17049. Kontroleri domena servisa Active Directory sada su sposobni za provedbu načina rada. U načinu rada za provedbu zahtijeva se da svi kontroleri domena servisa Active Directory imaju instaliran Update za Prosinac 8, 2020 ili noviji Windows Update. U ovom će se trenutku postavke ključa registra Performticketsignature ignorirati i način provedbe nije moguće nadjačati. 

Upute za instalaciju

Prije instaliranja ovog ažuriranja

Da biste primijenili ovo ažuriranje, morate imati instaliranu sljedeću potrebnu nadogradnju. Ako koristite Windows Update, ta će se obavezna ažuriranja ponuditi automatski po potrebi.

  • Morate imati verziju SHA-2 Update (KB4474419) koja datira iz rujna 23, 2019 ili novije ažuriranje Sha-2, a zatim ponovno pokrenite uređaj prije nego što primijenite ovo ažuriranje. Dodatne informacije o promjenama u programu SHA-2 potražite u članku 2019 Sha-2 kod potpisivanja zahtjeva za podršku za Windows i WSUS.

  • Za Windows Server 2008 R2 SP1 morate imati instaliran servis za ažuriranje stog (SSU) (KB4490628) koji je datirani Ožujak 12, 2019. Kada instalirate Update KB4490628 , preporučujemo vam da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijem ažuriranju SSU-a potražite u članku ADV990001 | Najnovija ažuriranja stogservisa.

  • Za Windows Server 2008 SP2 morate imati instaliran servis za ažuriranje stog (SSU) (KB4493730) koji je datiran od travnja 9, 2019. Kada instalirate Update KB4493730 , preporučujemo vam da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijim promjenama u SSU-u potražite u članku ADV990001 | Najnovija ažuriranja stogservisa.

  • Kupci su obavezni kupiti prošireno Sigurnosno ažuriranje (ESU) za lokalne verzije sustava Windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 nakon proširene podrške koja je završila u siječnju 14., 2020. Kupci koji su kupili ESU moraju pratiti procedure u KB4522133 da bi nastavili primati sigurnosne ažuriranja. Dodatne informacije o ESU i izdanjima koji su podržani potražite u članku KB4497181.

Važno Nakon instalacije tih potrebnih ažuriranja morate ponovno pokrenuti uređaj.

Instalacija svih ažuriranja

Da biste riješili sigurnosnu ranjivost, instalirajte sva ažuriranja u sustavu Windows i omogućite provedbu način rada tako da slijedite ove korake:

  1. Implementirajte najmanje jedno od ažuriranja između 8. prosinca 2020 i Ožujak 9, 2021 u sve kontrolori domena servisa Active Directory u šumi.

  2. Implementacija 12. travnja 2021 ažurirati najmanje jedan ili više tjedana nakon prvog koraka.

  3. Nakon ažuriranja svih kontrolera domena servisa Active Directory, Pričekajte najmanje cijeli tjedan da biste dopustili svim neizvršenim servisima za korisnike (S4U2self) Kerberos servisne karte da izbudu, a zatim potpunu zaštitu možete omogućiti tako da implementirate način provedbe kontrolora domene servisa Active Directory.Bilješke

    • Ako ste promijenili vrijeme isteka ulaznice za Kerberos iz zadanih postavki (zadano je 7 dana), morate čekati najmanje broj dana kao što je konfigurirano u vašem okruženju.

    • U sljedećim se koracima pretpostavlja da Performticketsignature nikada nije postavljen na 0 u vašem okruženju. Ako je Performticketsignature postavljen na 0, morate se premjestiti na postavku 1 prije premještanja na postavku 2 (provedba mode) i čekati najmanje tjedan dana da biste dozvolili da svi otvoreni servisi za korisnika u samostalnu (S4U2self) Kerberos usluge ulaznice isteču. Ne morate se kretati izravno od postavljanja 0 do postavke 2 (način provedbe).

Prvi korak: instalacija ažuriranja za Windows

Instalirajte odgovarajuće Windows Update za Prosinac 8, 2020 ili noviji Windows Update na sve uređaje koji su domaćini uloge kontrolora domene servisa Active Directory u šumi, uključujući kontrolori domena samo za čitanje.

Proizvod sa sustavom Windows Server

KB #

Vrsta ažuriranja

Windows Server, verzija 20H2 (Instalacija jezgre poslužitelja)

4592438

Sigurnosno ažuriranje

Windows Server, verzija 2004 (Instalacija jezgre poslužitelja)

4592438

Sigurnosno ažuriranje

Windows Server, verzija 1909 (Instalacija jezgre poslužitelja)

4592449

Sigurnosno ažuriranje

Windows Server, verzija 1903 (Instalacija jezgre poslužitelja)

4592449

Sigurnosno ažuriranje

Windows Server 2019 (Instalacija jezgre poslužitelja)

4592440

Sigurnosno ažuriranje

Windows Server 2019

4592440

Sigurnosno ažuriranje

Windows Server 2016 (Instalacija jezgre poslužitelja)

4593226

Sigurnosno ažuriranje

Windows Server 2016

4593226

Sigurnosno ažuriranje

Windows Server 2012 R2 (Instalacija jezgre poslužitelja)

4592484

Mjesečna kumulativna vrijednost

4592495

Samo sigurnost

Windows Server 2012 R2

4592484

Mjesečna kumulativna vrijednost

4592495

Samo sigurnost

Windows Server 2012 (Instalacija jezgre poslužitelja)

4592468

Mjesečna kumulativna vrijednost

4592497

Samo sigurnost

Windows Server 2012

4592468

Mjesečna kumulativna vrijednost

4592497

Samo sigurnost

Servisni paket 1 za Windows Server 2008 R2

4592471

Mjesečna kumulativna vrijednost

4592503

Samo sigurnost

Windows Server 2008, servisni paket 2

4592498

Mjesečna kumulativna vrijednost

4592504

Samo sigurnost

Drugi korak: Omogućivanje rada za provedbu

Nakon ažuriranja svih uređaja koji su domaćini uloge kontrolera domene servisa Active Directory, Pričekajte najmanje cijeli tjedan da biste dopustili da svi neplaćeni ulaznice za S4U2self Kerberos istekne. Zatim omogućite potpunu zaštitu tako da implementirate način provedbe. Da biste to učinili, omogućite ključ registra rada za provedbu.

Upozorenje Ako neispravno mijenjate registar pomoću uređivača registra ili pomoću nekog drugog načina, može doći do ozbiljnih problema. Za te probleme možda će biti potrebno ponovno instalirati operacijski sustav. Microsoft ne može jamčiti da će se ti problemi riješiti. Izmijenite registar na vlastitu odgovornost.

Napomena Ovo ažuriranje uvodi podršku za sljedeću vrijednost registra da bi se omogućio način provedbe. Ta se vrijednost registra ne stvara tako da instalirate ovo ažuriranje. Ovu vrijednost registra morate dodati ručno.

Potključ registra

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Vrijednost

Performticketsignatura

Vrsta podataka

REG_DWORD

Podataka

1: omogućuje način implementacije. Popravak je omogućen na kontroleru domene, ali kontroler domene servisa Active Directory ne zahtijeva da karte za servis Kerberos odgovaraju ispravci. U ovom se načinu rada dodaje podrška za potpise ulaznica na CVE-2020-17049 ažuriranim kontrolorima domena, ali kontrolorima domena nisu potrebne ulaznice za potpisivanje. Time se omogućuje miješanje početne faze implementacije (DB-a ažuriranih na početno ažuriranje implementacije) i ažuriranim kontrolorima domena za koegzistiranje. Kada se svi kontroleri domena ažuriraju i na prvojpostavci, svi novi ulaznice bit će potpisani. U ovom načinu rada nove karte bit će označene kao obnovljivih izvora.

2: omogućuje način rada za provedbu to omogućuje ispravljanje u potrebnom načinu rada u kojem se moraju ažurirati sve domene i svi kontroleri domena servisa Active Directory zahtjevaju karte za servis Kerberos s potpisima. Uz tu postavku sve karte moraju biti potpisane da bi se smatralo važećom. U ovom načinu rada ulaznice će se ponovno označiti kao obnovljivih izvora.

0: nije preporučeno. Onemogućuje potpise servisnih ulaznica u programu Kerberos, a domene nisu zaštićene.

Važno Postavka 0 nije kompatibilna s postavkom primjena 2. Povremeni pogreške prilikom provjere autentičnosti mogu se pojaviti ako se način primjene Primijeni kasnije, dok je domena postavljena na 0. Korisnicima preporučujemo da se presele na postavku 1 prije faze provedbe (najmanje tjedan dana prije primjene provedbe).

Zadani

1 (kada nije postavljen ključ registra)

Je li potrebno ponovno pokrenuti?

Ne

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.