Bejelentkezés Microsoft-fiókkal
Jelentkezzen be, vagy hozzon létre egy fiókot.
Üdvözöljük!
Válasszon másik fiókot.
Több fiókja van
Válassza ki a bejelentkezéshez használni kívánt fiókot.

FONTOS: A kényszerítési módnak a cikkben korábban említett dátuma 2021. március 9-re módosult. 

Összefoglalás

Ha védett felhasználókat éserőforrás-alapú delegálást (RBCD) használ, az Active Directory tartományvezérlők biztonsági rést használhatnak. A biztonsági résről bővebben a CVE-2020-16996-os CVE-2020-16996-os biztonsági résben olvashat.

Művelet

A környezet védelme és a kimaradások megelőzése érdekében tegye a következőket:

  1. A 2020. december 8-án Windows vagy újabb frissítéssel frissítheti az Active Directory tartományvezérlői szerepkört Windows összes eszközt. Vegye figyelembe, hogy a biztonsági Windows telepítése nem csökkenti teljes mértékben a biztonsági rést. El kell végeznie a 2. lépést.

  2. Engedélyezze a Kényszerítési módot az összes Active Directory-tartományvezérlőn. A 2021. március 9-i frissítéstől kezdődően a kényszerítési mód minden tartományvezérlőn Windows engedélyezhető.

Frissítések időzítése

Ezeket Windows frissítéseket két fázisban fogjuk megjelentetni:

  • A 2020. december 8-án Windows frissítések kezdeti telepítési fázisa.

  • A 2021. március 9-én Windows vagy azt követően kiadott frissítések kényszerítési fázisa.

2020. december 8.: Kezdeti telepítési fázis

A kezdeti telepítési fázis a 2020. december 8-án kiadott Windows indul, és a kényszerítési szakasz egy későbbi Windows folytatódik. Ezek és Windows módosítások a Kerberosban.

Ez a kiadás:

  • Címek: CVE-2020-16996 (alapértelmezés szerint le van tiltva).

  • A NonForwardableDelegation beállításjegyzékbeli érték támogatása az Active Directory tartományvezérlő-kiszolgálókon való védelem érdekében. Az érték alapértelmezés szerint nem létezik.

A megoldás magában foglalja a Windows-frissítések telepítését az összes olyan eszközön, amely az Active Directory tartományvezérlői szerepkört és írásvédett tartományvezérlőket tartalmaz, majd engedélyezi a kényszerítési módot.

2021. március 9.: Kényszerítési fázis

A 2021. március 9-i kiadás áttűn a kényszerítési fázisra. A kényszerítési szakasz érvényesíti a CVE-2020-16996 cím módosításait. Az Active Directory-tartományvezérlők mostantól kényszerítési módban lesznek, hacsak a kényszerítési mód beállításkulcsa nem 1 (letiltva). Ha a Kényszerítési mód beállításkulcs be van állítva, a beállítás érvénybe lép. A Kényszerítési üzemmódra való áttérthez minden Active Directory-tartományvezérlőn telepítve kell lennie a 2020. december 8-i vagy újabb frissítésnek.

Telepítési útmutató

A frissítés telepítése előtt

A frissítés telepítése előtt telepítenie kell az alábbi szükséges frissítéseket. Ha az Windows frissítéseket használja, a rendszer automatikusan felajánlja ezeket a szükséges frissítéseket.

  • A frissítés telepítése előtt telepítenie kell a 2019. szeptember 23-án vagy egy újabb SHA-2 frissítéssel(KB4474419)kell telepítenie az SHA-2 frissítést, majd újra kell indítania az eszközt. Az SHA-2 frissítésekkel kapcsolatos további információkért lásd: A 2019 SHA-2kódalá aláírása támogatási követelménye a Windows és a WSUS-ban.

  • A Windows Server 2008 R2 SP1 esetében telepítenie kell a 2019. március 12-én induló karbantartási köteg frissítését (SSU) (KB4490628). A KB4490628 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésről további információt az ADV990001 | A karbantartási köteg legújabb frissítései.

  • A Windows Server 2008 SP2 esetében a 2019. április 9-i karbantartási köteg frissítésének (SSU)(KB4493730)kell lennie. A KB4493730 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésekkel kapcsolatos további információkért lásd: ADV990001 | A karbantartási köteg legújabb frissítései.

  • Az ügyfeleknek meg kell vásárolniuk a kiterjesztett biztonsági frissítést a Windows Server 2008 SP2 vagy Windows Server 2008 R2 SP1 helyszíni verzióihoz, miután a kiterjesztett technikai támogatás 2020. január 14-én véget ért. A kb4522133-as frissítésre vonatkozó eljárást kell követniük a biztonsági frissítések fogadásának folytatásához. Az ESU-val és a támogatott kiadásokkal kapcsolatos további információkért lásd: KB4497181.

FontosA szükséges frissítések telepítése után újra kell indítania az eszközt.

A frissítés telepítése

A biztonsági rés feloldásához telepítse a biztonsági Windows, és engedélyezze a Kényszerítési módot az alábbi lépésekkel.

Figyelmeztetés: Időnként hitelesítési problémák léphetnek fel, ha Windows frissítések és a beállításjegyzék értéke nem következetes módon van alkalmazva az alábbi esetek egyikében vagy mindkettőben:

  • A 2020. december 8-i Windows frissítés nem megfelelően van telepítve az Active Directory tartományvezérlőire, és a NonForwardableDelegation értéke nem következetes 0 értékre van állítva az ilyen tartományvezérlőkön.

  • A 2021. március 9-i Windows-frissítés nem megfelelően települ az Active Directory tartományvezérlőire, amelyek implicit módon engedélyezve vannak a 2020. december 8-i Windows frissítés telepítésével a hívó, középszintű vagy céltartományban található összes Windows Server 2008 R2 vagy korábbi Active Directory-tartományvezérlőn.

                Fontos A Windows frissítéseket és a beállításjegyzékbeli értéket is folyamatosan alkalmazni kell a környezetében az ÖSSZES Active Directory-tartományvezérlőn.


1. lépés: A Windows telepítése

A 2020. december 8-i Windows- vagy újabb Windows-frissítést minden olyan eszközre telepítse, amely az Active Directory tartományvezérlő szerepkört az erdőben tartalmazza, beleértve a csak olvasható tartományvezérlőket is.

Windows Server termék

KB #

Frissítés típusa

Windows Server 20H2-es verziója (Server Core Installation)

4592438

Biztonsági frissítés

Windows Server 2004-es verziója (Server Core telepítés)

4592438

Biztonsági frissítés

Windows Server 1909-es verziója (Server Core telepítés)

4592449

Biztonsági frissítés

Windows Server 1903-as verziója (Server Core telepítés)

4592449

Biztonsági frissítés

Windows Server 2019 (Server Core telepítés)

4592440

Biztonsági frissítés

Windows Server 2019

4592440

Biztonsági frissítés

Windows Server 2016 (Server Core telepítés)

4593226

Biztonsági frissítés

Windows Server 2016

4593226

Biztonsági frissítés

Windows Server 2012 R2 (Server Core telepítés)

4592484

Havi összegző összegző

4592495

Csak biztonság

Windows Server 2012 R2

4592484

Havi összegző összegző

4592495

Csak biztonság

Windows Server 2012 (Server Core telepítés)

4592468

Havi összegző összegző

4592497

Csak biztonság

Windows Server 2012

4592468

Havi összegző összegző

4592497

Csak biztonság

Windows Server 2008 R2 Service Pack 1 szervizcsomag

4592471

Havi összegző összegző

4592503

Csak biztonság

Windows Server 2008 Service Pack 2

4592498

Havi összegző összegző

4592504

Csak biztonság

2. lépés: A kényszerítési mód engedélyezése

Miután frissült az Active Directory tartományvezérlő szerepkört használó összes eszköz, várjon legalább egy teljes napot, hogy minden, a Felhasználó önkiszolgáló szolgáltatása (S4U2self) kerberos szolgáltatási jegye lejárjon. Ezt követően engedélyezze a teljes védelmet a Kényszerítési mód telepítéséhez. Ehhez engedélyezze a Kényszerítési mód beállításkulcsát.

Figyelmeztetés: Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ilyen problémák esetén előfordulhat, hogy újra kell telepítenie az operációs rendszert. A Microsoft nem garantálja e problémák megoldható voltát. Módosítsa a beállításjegyzéket saját kockázatra.

Megjegyzés: Ez a beállításjegyzékbeli érték nem jön létre a frissítés telepítésével. Ezt a beállításjegyzékbeli értéket manuálisan kell hozzáadnia.

Beállításalkulcs

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Érték

NonForwardableDelegation

Adattípus

REG_DWORD

Érték

1:Letiltja a kényszerítési módot.  

0:Engedélyezi a kényszerítési módot. Ez a védett állapot.

Alapértelmezett

1

Szükség van újraindításra?

Nem


Megjegyzések a "NonForwardableDelegation" beállításjegyzékbeli értékről:

  • Ha a beállításjegyzékbeli érték meg van állítva, az elsőbbséget élvez a 2021. március 9-i frissítésben szereplő Kényszerítési mód beállítással Windows beállítással.

    • Ha a beállításjegyzék értéke 1 (Letiltva), akkor a továbbítás engedélyezett lesz a Kerberos szolgáltatás jegyeinél, amelyek NEM továbbíthatóként vannak megjelölve.

    • Ha a beállításjegyzék értéke 0 (Engedélyezés), akkor a továbbítás NEM engedélyezett a Kerberos szolgáltatás jegyeinél, amelyek NEM továbbíthatóként vannak megjelölve.

  • Ha tartománya Windows Server 2008 R2 vagy korábbi Active Directory tartományvezérlőket tartalmaz, nem kell a kényszerítési módot beállítania, mert ezek a tartományvezérlők nem támogatják az RBCD-t.

  • Ha nem frissíti rendszeresen az összes Active Directory-tartományvezérlőt a kényszerítési mód engedélyezésekor, az időnként sikertelen szolgáltatásdelegálást eredményez.

  • A Kényszerítési mód beállítása előtt:

    • Minden Active Directory-tartományvezérlőt frissíteni kell a 2020. december 8-i Windows, illetve egy újabb Windows frissítéssel, és

    • Az összes kiemelkedő S4USelf Kerberos-szolgáltatási jegy lejárt, ha az Windows frissítésének befejezése után egy nappal az összes Active Directory-tartományvezérlőre le kell mondania.

További megfontolások

Ha ez a védelem engedélyezve van, akkor az Resource-Based delegálás (RBCD) logikáját az eredeti korlátozott delegálással. Ez problémákat okozhat az alábbi két esetben:

  • Egyetlen szolgáltatás egyidejűleg használja az eredeti Kerberos-megkötéses delegálást (KCD) protokolláttváltás nélkül az egyik célra, miközben az RBCD protokolláttűnéseket használ egy másikba. A módosítás után a protokolláttűnésmegtagadás mindkét meghatalmazási stílusra érvényes lesz.

  • Az RBCD olyan tartományban használatos, amely a CVE-2020-16996 verzióval nem frissített tartományvezérlőket használ, illetve a Windows Server (a Window Server 2012-nél régebbi) régebbi verzióját futtatja, és nincs elérhető frissítés a CVE-2020-16996 verzióhoz. A nem frissített terjesztési központok nem jelzik az S4USelf Kerberos szolgáltatási jegyeket a delegálás és a protokolláttűnés okának.

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők

Hasznos volt ez az információ?

Mennyire elégedett a fordítás minőségével?
Mi volt hatással a felhasználói élményére?
Ha elküldi a visszajelzést, a Microsoft felhasználja azt a termékei és szolgáltatásai továbbfejlesztéséhez. Az informatikai rendszergazda képes lesz ezeket az adatokat összegyűjteni. Adatvédelmi nyilatkozat.

Köszönjük a visszajelzését!

×