VAŽNO Datum rada za provedbu kao što je prethodno navedeno u ovom članku promijenjen je u ožujku 9, 2021.

Sažetak

Ako koristite zaštićene korisnike i delegirane ograničene resurse (RBCD), sigurnosna ranjivost može postojati u kontrolorima domena servisa Active Directory. Dodatne informacije o sigurnosnoj ranjivosti potražite u članku CVE-2020-16996.

Poduzmi akcije

Da biste zaštitili svoj okoliš i spriječili izvan sustava, morate učiniti sljedeće:

  1. Ažurirajte sve uređaje koji su domaćini ulozi kontrolera domene Active Directory tako da instalirate Windows Update, 2020 i noviji Windows Update. Imajte na umu da instalacija servisa Windows Update neće u potpunosti ublažiti sigurnosnu slabu točku. Morate izvesti korak 2.

  2. Omogući način provedbe na svim kontrolorima domena servisa Active Directory. Počevši od servisa Update Ožujak 9, 2021, način provedbe može biti omogućen na svim kontrolorima domena sustava Windows.

Tempiranje ažuriranja

Ova ažuriranja za Windows bit će objavljena u dvije faze:

  • Početna faza implementacije za ažuriranja u sustavu Windows objavljena ili nakon 8. prosinca 2020.

  • Faza provedbe za ažuriranja za Windows objavljena na stranici Ožujak 9, 2021.

8. prosinca 2020: faza početne implementacije

Početna faza implementacije započinje pomoću servisa Windows Update objavljenom u prosincu 8, 2020, a nastavlja se s kasnijim ažuriranjem sustava Windows za fazu provedbe . Ta i novija ažuriranja sustava Windows mijenjaju se u Kerberos.

Ovo izdanje:

  • Adrese CVE-2020-16996 (onemogućeno po zadanom).

  • Dodaje podršku za vrijednost registra za Nešpedabledelegiranje da bi se omogućila zaštita na poslužiteljima kontrolera domene servisa Active Directory. Vrijednost ne postoji po zadanom.

Ublažavanje promjene sastoji se od instalacije ažuriranja sustava Windows na svim uređajima koji su domaćin uloge kontrolera domene Active Directory i kontroleri domena samo za čitanje (RODCs), a zatim Omogućavanje načina provedbe .

9. Ožujak 2021: faza provedbe

Ožujak 9, 2021 release prijelaze u fazu provedbe. Faza provedbe nameće promjene u adresi CVE-2020-16996. Kontroleri domena servisa Active Directory sada će biti u načinu provedbe , osim ako je ključ registra za provedbu načina rada postavljen na 1 (onemogućeno). Ako je postavljen ključ registra za provedbu načina rada, postavka će biti poštovana. Odlazak na način provedbe zahtijeva da svi kontroleri domena servisa Active Directory imaju instaliranu aplikaciju 8, 2020 ili novije ažuriranje.

Upute za instalaciju

Prije instaliranja ovog ažuriranja

Da biste primijenili ovo ažuriranje, morate imati instaliranu sljedeću potrebnu nadogradnju. Ako koristite Windows Update, ta će se obavezna ažuriranja ponuditi automatski po potrebi.

  • Morate imati verziju SHA-2 Update (KB4474419) koja datira iz rujna 23, 2019 ili novije ažuriranje Sha-2, a zatim ponovno pokrenite uređaj prije nego što primijenite ovo ažuriranje. Dodatne informacije o promjenama u programu SHA-2 potražite u članku 2019 Sha-2 kod potpisivanja zahtjeva za podršku za Windows i WSUS.

  • Za Windows Server 2008 R2 SP1 morate imati instaliran servis za ažuriranje stog (SSU) (KB4490628) koji je datirani Ožujak 12, 2019. Kada instalirate Update KB4490628 , preporučujemo vam da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijem ažuriranju SSU-a potražite u članku ADV990001 | Najnovija ažuriranja stogservisa.

  • Za Windows Server 2008 SP2 morate imati instaliran servis za ažuriranje stog (SSU) (KB4493730) koji je datiran od travnja 9, 2019. Kada instalirate Update KB4493730 , preporučujemo vam da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijim promjenama u SSU-u potražite u članku ADV990001 | Najnovija ažuriranja stogservisa.

  • Kupci su obavezni kupiti prošireno Sigurnosno ažuriranje (ESU) za lokalne verzije sustava Windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 nakon proširene podrške koja je završila u siječnju 14., 2020. Kupci koji su kupili ESU moraju pratiti procedure u KB4522133 da bi nastavili primati sigurnosne ažuriranja. Dodatne informacije o ESU i izdanjima koji su podržani potražite u članku KB4497181.

Važno Nakon instalacije tih potrebnih ažuriranja morate ponovno pokrenuti uređaj.

Instalacija ažuriranja

Da biste riješili sigurnosnu slabu točku, instalirajte ažuriranja sustava Windows i omogućite način provedbe pomoću sljedećih koraka.

Upozorenje Povremeni problemi s provjerom autentičnosti mogu se pojaviti ako se ažuriranja sustava Windows i vrijednost registra primjenjuju nedosljedno u jednom od sljedećih scenarija:

  • 8. prosinca 2020 Windows Update je nedosljedno instaliran na kontrolori domene servisa Active Directory, a vrijednost neisšpedabledelegiranja postavljena je na 0 nedosljedno na tim kontrolorima domena.

  • 9. ožujka 2021 Windows Update nedosljedno je instaliran na kontrolori domene servisa Active Directory koji su implicitno omogućeni tako da prvi put instalirate Office 8, 2020 Windows Update na svim Windows Server 2008 R2 ili starijim kontrolorima domena Active Directory koji se nalaze u području pozivatelja, srednjih ili odredišnih domena.

Važno Ažuriranja sustava Windows i vrijednost registra moraju se dosljedno primjenjivati na svim kontrolorima domena servisa Active Directory u vašem okruženju.


Prvi korak: instalacija servisa Windows Update

Instalirajte Windows Update za Prosinac 8, 2020 ili noviji Windows Update na sve uređaje koji su domaćini uloge kontrolora domene servisa Active Directory u šumi, uključujući kontrolori domena samo za čitanje.

Proizvod sa sustavom Windows Server

KB #

Vrsta ažuriranja

Windows Server, verzija 20H2 (Instalacija jezgre poslužitelja)

4592438

Sigurnosno ažuriranje

Windows Server, verzija 2004 (Instalacija jezgre poslužitelja)

4592438

Sigurnosno ažuriranje

Windows Server, verzija 1909 (Instalacija jezgre poslužitelja)

4592449

Sigurnosno ažuriranje

Windows Server, verzija 1903 (Instalacija jezgre poslužitelja)

4592449

Sigurnosno ažuriranje

Windows Server 2019 (Instalacija jezgre poslužitelja)

4592440

Sigurnosno ažuriranje

Windows Server 2019

4592440

Sigurnosno ažuriranje

Windows Server 2016 (Instalacija jezgre poslužitelja)

4593226

Sigurnosno ažuriranje

Windows Server 2016

4593226

Sigurnosno ažuriranje

Windows Server 2012 R2 (Instalacija jezgre poslužitelja)

4592484

Mjesečna kumulativna vrijednost

4592495

Samo sigurnost

Windows Server 2012 R2

4592484

Mjesečna kumulativna vrijednost

4592495

Samo sigurnost

Windows Server 2012 (Instalacija jezgre poslužitelja)

4592468

Mjesečna kumulativna vrijednost

4592497

Samo sigurnost

Windows Server 2012

4592468

Mjesečna kumulativna vrijednost

4592497

Samo sigurnost

Servisni paket 1 za Windows Server 2008 R2

4592471

Mjesečna kumulativna vrijednost

4592503

Samo sigurnost

Windows Server 2008, servisni paket 2

4592498

Mjesečna kumulativna vrijednost

4592504

Samo sigurnost

Drugi korak: Omogućivanje rada za provedbu

Nakon ažuriranja svih uređaja koji su domaćini uloge kontrolera domene servisa Active Directory, pričekajte najmanje cijeli dan da biste dopustili svim neizvršenim servisima za korisnike (S4U2self) karte za servis Kerberos. Zatim omogućite potpunu zaštitu tako da implementirate način provedbe . Da biste to učinili, omogućite ključ registra rada za provedbu .

Upozorenje Ako neispravno mijenjate registar pomoću uređivača registra ili pomoću nekog drugog načina, može doći do ozbiljnih problema. Za te probleme možda će biti potrebno ponovno instalirati operacijski sustav. Microsoft ne može jamčiti da će se ti problemi riješiti. Izmijenite registar na vlastitu odgovornost.

Napomena Ta se vrijednost registra ne stvara tako da instalirate ovo ažuriranje. Ovu vrijednost registra morate dodati ručno.

Potključ registra

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Vrijednost

Neotpremno delegiranje

Vrsta podataka

REG_DWORD

Podataka

1: onemogućuje način provedbe.  

0: omogućuje način provedbe. Ovo je zaštićeno stanje.

Zadani

1

Je li potrebno ponovno pokrenuti?

Ne


Bilješke o vrijednosti registra "non forwardableizaslanstvo":

  • Ako je postavljena vrijednost registra, ona će imati prednost iznad postavke načina provedbe koja je uključena u ažuriranja sustava Windows 9, 2021.

    • Ako je vrijednost registra postavljena na 1 (Onemogući), prosljeđivanje će biti dopušteno na karticama servisa Kerberos koje su označene kao otpremne.

    • Ako je vrijednost registra postavljena na 0 (Omogući), prosljeđivanje neće biti dopušteno na karticama usluge Kerberos koje su označene kao pristupnika i način provedbe .

  • Ako vaša domena obuhvaća Windows Server 2008 R2 ili starije kontrolori domene Active Directory, ne morate postavljati način provedbe jer ti kontroleri domena ne podržavaju RBCD.

  • Neuspjeh da dosljedno ažurirate sve kontrolori domena servisa Active Directory prilikom omogućivanja načina provedbe rezultirat će neuspjehom delegacije sustava.

  • Prije postavljanja načina provedbe :

    • Svi kontroleri domena servisa Active Directory moraju se ažurirati uz ažuriranje sustava Windows 8, 2020 ili noviji, a

    • Sve izvanredne S4USelf Kerberos servisne karte moraju biti istekle čekajući dan nakon dovršetka implementacije servisa Windows Update na svim kontrolorima domena servisa Active Directory.

Dodatna razmatranja

Kada ta zaštita bude omogućena, ona objedinjuje logiku za Resource-Based ograničeno delegiranje (RBCD) s originalnim delegiranjem. To može uzrokovati probleme u dva sljedeća scenarija:

  • Jedan servis istodobno koristi originalni Kerberos ograničen izaslanstvo (KCd) bez protokola prijelaz na jedan cilj dok se koristi RBCD s protokolom prijelaz na drugi. Nakon ove promjene, prijelaz na protokol o poricanju primijenit će se na oba stila izaslanstva.

  • RBCD se koristi u domeni koja koristi kontrolori domena koje nisu ažurirane pomoću CVE-2020-16996 ili izvođenja starijih verzija sustava Windows Server (starije od Window Server 2012) koje nemaju dostupno ažuriranje za CVE-2020-16996. Ključni distribucijski centri (KDB) koji se ne ažuriraju neće zastavicom S4USelf Kerberos servisne ulaznice kao u redu za delegiranje i protokol prijelaz će biti odbijen.

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Koliko ste zadovoljni kvalitetom prijevoda?
Što je utjecalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×