FONTOS: A kényszerítési módnak a cikkben korábban említett dátuma 2021. március 9-re módosult. |
Összefoglalás
Ha védett felhasználókat éserőforrás-alapú delegálást (RBCD) használ, az Active Directory tartományvezérlők biztonsági rést használhatnak. A biztonsági résről bővebben a CVE-2020-16996-os CVE-2020-16996-os biztonsági résben olvashat.
Művelet A környezet védelme és a kimaradások megelőzése érdekében tegye a következőket:
|
Frissítések időzítése
Ezeket Windows frissítéseket két fázisban fogjuk megjelentetni:
-
A 2020. december 8-án Windows frissítések kezdeti telepítési fázisa.
-
A 2021. március 9-én Windows vagy azt követően kiadott frissítések kényszerítési fázisa.
2020. december 8.: Kezdeti telepítési fázis
A kezdeti telepítési fázis a 2020. december 8-án kiadott Windows indul, és a kényszerítési szakasz egy későbbi Windows folytatódik. Ezek és Windows módosítások a Kerberosban.
Ez a kiadás:
-
Címek: CVE-2020-16996 (alapértelmezés szerint le van tiltva).
-
A NonForwardableDelegation beállításjegyzékbeli érték támogatása az Active Directory tartományvezérlő-kiszolgálókon való védelem érdekében. Az érték alapértelmezés szerint nem létezik.
A megoldás magában foglalja a Windows-frissítések telepítését az összes olyan eszközön, amely az Active Directory tartományvezérlői szerepkört és írásvédett tartományvezérlőket tartalmaz, majd engedélyezi a kényszerítési módot.
2021. március 9.: Kényszerítési fázis
A 2021. március 9-i kiadás áttűn a kényszerítési fázisra. A kényszerítési szakasz érvényesíti a CVE-2020-16996 cím módosításait. Az Active Directory-tartományvezérlők mostantól kényszerítési módban lesznek, hacsak a kényszerítési mód beállításkulcsa nem 1 (letiltva). Ha a Kényszerítési mód beállításkulcs be van állítva, a beállítás érvénybe lép. A Kényszerítési üzemmódra való áttérthez minden Active Directory-tartományvezérlőn telepítve kell lennie a 2020. december 8-i vagy újabb frissítésnek.
Telepítési útmutató
A frissítés telepítése előtt
A frissítés telepítése előtt telepítenie kell az alábbi szükséges frissítéseket. Ha az Windows frissítéseket használja, a rendszer automatikusan felajánlja ezeket a szükséges frissítéseket.
-
A frissítés telepítése előtt telepítenie kell a 2019. szeptember 23-án vagy egy újabb SHA-2 frissítéssel(KB4474419)kell telepítenie az SHA-2 frissítést, majd újra kell indítania az eszközt. Az SHA-2 frissítésekkel kapcsolatos további információkért lásd: A 2019 SHA-2kódalá aláírása támogatási követelménye a Windows és a WSUS-ban.
-
A Windows Server 2008 R2 SP1 esetében telepítenie kell a 2019. március 12-én induló karbantartási köteg frissítését (SSU) (KB4490628). A KB4490628 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésről további információt az ADV990001 | A karbantartási köteg legújabb frissítései.
-
A Windows Server 2008 SP2 esetében a 2019. április 9-i karbantartási köteg frissítésének (SSU)(KB4493730)kell lennie. A KB4493730 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésekkel kapcsolatos további információkért lásd: ADV990001 | A karbantartási köteg legújabb frissítései.
-
Az ügyfeleknek meg kell vásárolniuk a kiterjesztett biztonsági frissítést a Windows Server 2008 SP2 vagy Windows Server 2008 R2 SP1 helyszíni verzióihoz, miután a kiterjesztett technikai támogatás 2020. január 14-én véget ért. A kb4522133-as frissítésre vonatkozó eljárást kell követniük a biztonsági frissítések fogadásának folytatásához. Az ESU-val és a támogatott kiadásokkal kapcsolatos további információkért lásd: KB4497181.
FontosA szükséges frissítések telepítése után újra kell indítania az eszközt.
A frissítés telepítése
A biztonsági rés feloldásához telepítse a biztonsági Windows, és engedélyezze a Kényszerítési módot az alábbi lépésekkel.
Figyelmeztetés: Időnként hitelesítési problémák léphetnek fel, ha Windows frissítések és a beállításjegyzék értéke nem következetes módon van alkalmazva az alábbi esetek egyikében vagy mindkettőben:
Fontos A Windows frissítéseket és a beállításjegyzékbeli értéket is folyamatosan alkalmazni kell a környezetében az ÖSSZES Active Directory-tartományvezérlőn. |
1. lépés: A Windows telepítése
A 2020. december 8-i Windows- vagy újabb Windows-frissítést minden olyan eszközre telepítse, amely az Active Directory tartományvezérlő szerepkört az erdőben tartalmazza, beleértve a csak olvasható tartományvezérlőket is.
Windows Server termék |
KB # |
Frissítés típusa |
Windows Server 20H2-es verziója (Server Core Installation) |
Biztonsági frissítés |
|
Windows Server 2004-es verziója (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server 1909-es verziója (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server 1903-as verziója (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server 2019 (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server 2019 |
Biztonsági frissítés |
|
Windows Server 2016 (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server 2016 |
Biztonsági frissítés |
|
Windows Server 2012 R2 (Server Core telepítés) |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2012 R2 |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2012 (Server Core telepítés) |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2012 |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2008 R2 Service Pack 1 szervizcsomag |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2008 Service Pack 2 |
Havi összegző összegző |
|
Csak biztonság |
2. lépés: A kényszerítési mód engedélyezése
Miután frissült az Active Directory tartományvezérlő szerepkört használó összes eszköz, várjon legalább egy teljes napot, hogy minden, a Felhasználó önkiszolgáló szolgáltatása (S4U2self) kerberos szolgáltatási jegye lejárjon. Ezt követően engedélyezze a teljes védelmet a Kényszerítési mód telepítéséhez. Ehhez engedélyezze a Kényszerítési mód beállításkulcsát.
Figyelmeztetés: Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ilyen problémák esetén előfordulhat, hogy újra kell telepítenie az operációs rendszert. A Microsoft nem garantálja e problémák megoldható voltát. Módosítsa a beállításjegyzéket saját kockázatra.
Megjegyzés: Ez a beállításjegyzékbeli érték nem jön létre a frissítés telepítésével. Ezt a beállításjegyzékbeli értéket manuálisan kell hozzáadnia.
Beállításalkulcs |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Érték |
NonForwardableDelegation |
Adattípus |
REG_DWORD |
Érték |
1:Letiltja a kényszerítési módot. 0:Engedélyezi a kényszerítési módot. Ez a védett állapot. |
Alapértelmezett |
1 |
Szükség van újraindításra? |
Nem |
Megjegyzések a
"NonForwardableDelegation" beállításjegyzékbeli értékről:
-
Ha a beállításjegyzékbeli érték meg van állítva, az elsőbbséget élvez a 2021. március 9-i frissítésben szereplő Kényszerítési mód beállítással Windows beállítással.
-
Ha a beállításjegyzék értéke 1 (Letiltva), akkor a továbbítás engedélyezett lesz a Kerberos szolgáltatás jegyeinél, amelyek NEM továbbíthatóként vannak megjelölve.
-
Ha a beállításjegyzék értéke 0 (Engedélyezés), akkor a továbbítás NEM engedélyezett a Kerberos szolgáltatás jegyeinél, amelyek NEM továbbíthatóként vannak megjelölve.
-
-
Ha tartománya Windows Server 2008 R2 vagy korábbi Active Directory tartományvezérlőket tartalmaz, nem kell a kényszerítési módot beállítania, mert ezek a tartományvezérlők nem támogatják az RBCD-t.
-
Ha nem frissíti rendszeresen az összes Active Directory-tartományvezérlőt a kényszerítési mód engedélyezésekor, az időnként sikertelen szolgáltatásdelegálást eredményez.
-
A Kényszerítési mód beállítása előtt:
-
Minden Active Directory-tartományvezérlőt frissíteni kell a 2020. december 8-i Windows, illetve egy újabb Windows frissítéssel, és
-
Az összes kiemelkedő S4USelf Kerberos-szolgáltatási jegy lejárt, ha az Windows frissítésének befejezése után egy nappal az összes Active Directory-tartományvezérlőre le kell mondania.
-
További megfontolások
Ha ez a védelem engedélyezve van, akkor az Resource-Based delegálás (RBCD) logikáját az eredeti korlátozott delegálással. Ez problémákat okozhat az alábbi két esetben:
-
Egyetlen szolgáltatás egyidejűleg használja az eredeti Kerberos-megkötéses delegálást (KCD) protokolláttváltás nélkül az egyik célra, miközben az RBCD protokolláttűnéseket használ egy másikba. A módosítás után a protokolláttűnésmegtagadás mindkét meghatalmazási stílusra érvényes lesz.
-
Az RBCD olyan tartományban használatos, amely a CVE-2020-16996 verzióval nem frissített tartományvezérlőket használ, illetve a Windows Server (a Window Server 2012-nél régebbi) régebbi verzióját futtatja, és nincs elérhető frissítés a CVE-2020-16996 verzióhoz. A nem frissített terjesztési központok nem jelzik az S4USelf Kerberos szolgáltatási jegyeket a delegálás és a protokolláttűnés okának.