Fontos: A cikkben korábban említett kibocsátási dátumok megváltoztak. Kérjük, vegye figyelembe az új kiadási dátumokat a "Művelet" és a "Windows-frissítések időzítése" szakaszban.
Összefoglalás
A biztonsági funkciók megkerülését lehetővé t térő biztonsági rés abban a módban létezik, ahogyan a Kulcseloszlási központ meghatározza, hogy a Kerberos szolgáltatási jegy használható-e delegálásra a Kerberos korlátozott delegálásán keresztül. A biztonsági rés kiaknázása érdekében a KCD használatára konfigurált illetéktelenül használt szolgáltatás meghamisíthat egy olyan Kerberos-szolgáltatási jegyet, amely nem érvényes meghatalmazáshoz, és kényszeríti a KDC-t annak elfogadására. Ezek a Windows-frissítések a biztonsági rést úgy szüntetik meg, hogy módosítják, hogy a KDC hogyan érvényesíti a KCD-vel használt Kerberos-szolgáltatási jegyeket.
A biztonsági résről további információt a CVE-2020-17049-es CVE-ben olvashat.
Művelet A környezet védelme és a kimaradások megelőzése érdekében az alábbi lépéseket kell követnie:
|
A Windows-frissítések időzítése
Ezek a Windows-frissítések három fázisban fognak megjelenni:
-
A 2020. december 8-án vagy azt követően kiadott Windows-frissítések kezdeti telepítési fázisa.
-
Egy második telepítési fázis, amely eltávolítja a PerformTicketSignature0 beállítást, és 1-es vagy 2-esbeállítást igényel, 2021. április 13-án vagy azt követően.
-
A 2021. július 13-án vagy azt követően kiadott Windows-frissítések kényszerítési fázisa.
2020. december 8.: Kezdeti telepítési fázis
A kezdeti telepítési fázis a 2020. december 8-án kiadott Windows-frissítéssel kezdődik, és a kényszerítési fázishoz egy későbbi Windows-frissítéssel folytatódik. Ezek és újabb Windows-frissítések módosítják a Kerberos-t. Ez a 2020. december 8-i frissítés tartalmazza a CVE-2020-17049 2020. november 10-én bevezetett összes ismert probléma javítását. Ez a frissítés a Windows Server 2008 SP2 és a Windows Server 2008 R2 támogatását is támogatja.
Ez a kiadás:
-
Címek: CVE-2020-17049 (alapértelmezés szerint Telepítési módban).
-
Támogatja a PerformTicketSignature beállításjegyzékbeli értéket, hogy az Active Directory tartományvezérlő-kiszolgálókon is lehetővé tegye a védelmet. Ez az érték alapértelmezés szerint nem létezik.
A megoldás magában foglalja a Windows-frissítések telepítését minden olyan eszközön, amely az Active Directory tartományvezérlői szerepkört és írásvédett tartományvezérlőket (CSAK OLVASHATÓ tartományvezérlőket) tartalmazza, majd engedélyezi a Kényszerítési módot.
2021. április 13.:Második üzembe helyezési fázis
A második telepítési fázis a 2021. április 13-án kiadott Windows-frissítéssel kezdődik. Ez a fázis eltávolítja a PerformTicketSignature0 beállítást. A PerformTicketSignaturebeállításának 0-ra való beállítása a frissítés telepítése után ugyanaz lesz, mint a PerformTicketSignature1érték beállítása. A DCS-k telepítési módban lesznek.
Megjegyzések
-
Ez a fázis nem szükséges, ha a PerformTicketSignature soha nem volt 0-ra állítva a környezetben. Ezzel a fázissal biztosítjuk, hogy a PerformTicketSignature0 értékkel beállított ügyfelek a Kényszerítési fázis előtt az 1-esbeállításra állítsanak át.
-
A 2021. április 13-i frissítések telepítésekor a PerformTicketSignature1-re állításával a szolgáltatási jegyek megújíthatók lesznek. Ez a 2021. áprilisi Windows-frissítések viselkedésében változott, amikor a PerformTicketSignature 1-re való beállítása miatt a szolgáltatási jegyek nem válthatók újra.
-
Ez a frissítés abból indul ki, hogy az összes tartományvezérlő frissítve van a 2020. december 8-i vagy újabb frissítésekkel.
-
A frissítés telepítése után a PerformTicketSignature1-es vagy újabb, nem támogatott Windows Server-tartományvezérlők nem működnek többé a támogatott tartományvezérlőkhöz, illetve manuálisan vagy programozással nem működnek. Ide tartozik a Windows Server 2008 és a Kiterjesztett biztonsági frissítések nélküli Windows Server 2008 R2 és a Windows Server 2003.
2021. július 13.:Végrehajtási fázis
A 2021. július 13-i kiadás áttűn a végrehajtási fázisra. A kényszerítési fázis érvényesíti a CVE-2020-17049 cím módosításait. Az Active Directory-tartományvezérlők mostantól képesek a Kényszerítési módra. A Kényszerítési módra való váltáshoz minden Active Directory-tartományvezérlőn telepítve kell lennie a 2020. december 8-i vagy újabb Windows-frissítésnek. A PerformTicketSignature beállításkulcs beállításait a rendszer figyelmen kívül hagyja, és a Kényszerítési módot nem lehet felülírni.
Telepítési útmutató
A frissítés telepítése előtt
A frissítés telepítése előtt telepítenie kell az alábbi szükséges frissítéseket. Ha a Windows Update-et használja, a rendszer automatikusan felajánlja ezeket a szükséges frissítéseket.
-
A frissítés telepítése előtt telepítenie kell a 2019. szeptember 23-i vagy újabb SHA-2 frissítést(KB4474419)kell telepítenie, majd újra kell indítania az eszközt. Az SHA-2 frissítésekkel kapcsolatos további információkért lásd a 2019-es SHA-2kódalá aláíró támogatási követelményt a Windows és a WSUS esetén.
-
Windows Server 2008 R2 SP1 esetén a 2019. március 12-én kelt SSU(KB4490628) frissítésnek (KB4490628)kell lennie. A KB4490628 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésről az ADV990001 | Legújabb karbantartási kötegfrissítések.
-
Windows Server 2008 SP2 esetén a 2019. április 9-i frissítésnek(KB4493730) (KB4493730)kell telepítve lennie. A KB4493730 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésekről az ADV990001 | Legújabb karbantartási kötegfrissítések.
-
Az ügyfeleknek meg kell vásárolniuk a Kiterjesztett biztonsági frissítést a Windows Server 2008 SP2 vagy a Windows Server 2008 R2 SP1 helyszíni verzióihoz, miután a kiterjesztett támogatás 2020. január 14-én véget ért. A biztonsági frissítések fogadásának folytatásához az esu-t megvásároló ügyfeleknek a KB4522133-as eljárást kell követniük. Az ESU-val és a támogatott kiadásokkal kapcsolatos további információkért lásd: KB4497181.
Fontos!A szükséges frissítések telepítése után újra kell indítania az eszközt.
Az összes frissítés telepítése
A biztonsági rés elhárításához telepítse az összes Windows-frissítést, és engedélyezze a Kényszerítési módot az alábbi lépésekkel:
-
2020. december 8. és 2021. március 9. között legalább egy frissítést telepíthet az Active Directory összes tartományvezérlőjére az erdőben.
-
Telepítse a 2021. április 12-i frissítést legalább egy héttel az 1. lépés után.
-
Miután az összes Active Directory-tartományvezérlő frissült, várjon legalább egy teljes hetet, amíg az összes, felhasználó önkiszolgáló szolgáltatása (S4U2self) kerberos szolgáltatási jegye lejár, majd az Active Directory tartományvezérlők kényszerítési módjának telepítésével teljes védelmet engedélyezhet.
Megjegyzések-
Ha módosította a Kerberos szolgáltatási jegy lejárati időértékét az alapértelmezett beállításokból (az alapértelmezett érték 7 nap), akkor legalább a környezetben konfigurált napok számát meg kell várnia.
-
Ezek a lépések feltételezik, hogy a PerformTicketSignature még nincs 0-ra állítva a környezetében. Ha a PerformTicketSignature érték 0,akkor a 2-es beállítás (kényszerítési mód) beállítása előtt az 1-es beállításra kell lépnie, és legalább egy héttel meg kell várnia, hogy a felhasználó összes kiemelkedő Szolgáltatása (S4U2self) kerberos szolgáltatási jegye lejárjon. Ne lépjen közvetlenül a 0 értékről a 2-es beállításra (Kényszerítési mód).
-
1. lépés: Windows-frissítések telepítése
Telepítse a megfelelő 2020. december 8-i Windows-frissítést vagy újabb Windows-frissítést minden olyan eszközre, amely az Active Directory tartományvezérlői szerepkört az erdőbe telepíti, beleértve az írásra alkalmas tartományvezérlőket is.
Windows Server-termék |
KB # |
Frissítés típusa |
Windows Server, 20H2-es verzió (Server Core installation) |
Biztonsági frissítés |
|
Windows Server, 2004-es verzió (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server, 1909-es verzió (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server, 1903-as verzió (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server 2019 (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server 2019 |
Biztonsági frissítés |
|
Windows Server 2016 (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server 2016 |
Biztonsági frissítés |
|
Windows Server 2012 R2 (Server Core telepítés) |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2012 R2 |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2012 (Server Core telepítés) |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2012 |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2008 R2 Service Pack 1 |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2008 Service Pack 2 |
Havi összegző összegző |
|
Csak biztonság |
2. lépés: A Kényszerítési mód engedélyezése
Az Active Directory tartományvezérlői szerepkört szolgáltató összes eszköz frissítése után várjon legalább egy teljes hetet, amíg az összes kiemelkedő S4U2self Kerberos szolgáltatási jegy lejár. Ezután engedélyezze a teljes védelmet a Kényszerítési mód telepítéséhez. Ehhez engedélyezze a Kényszerítési mód beállításkulcsát.
Figyelmeztetés: Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ilyen problémák esetén előfordulhat, hogy újra kell telepítenie az operációs rendszert. A Microsoft nem garantálja, hogy ezek a problémák megoldhatók. Módosítsa a beállításjegyzéket saját kockázatra.
Megjegyzés: Ez a frissítés a következő beállításjegyzékbeli érték támogatását tartalmazza a Kényszerítési mód engedélyezéséhez. Ez a beállításjegyzékbeli érték nem jön létre a frissítés telepítésével. Ezt a beállításkulcsot manuálisan kell hozzáadnia.
Beállításalkulcs |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Érték |
PerformTicketSignature |
Adattípus |
REG_DWORD |
Érték |
1:Engedélyezi a telepítési módot. A javítás engedélyezve van a tartományvezérlőn, de az Active Directory-tartományvezérlő nem követeli meg, hogy a Kerberos szolgáltatási jegyei megfeleljenek a javításnak. Ez a mód a CVE-2020-17049 frissített tartományvezérlőkön támogatja a jegyaláírásokat, a tartományvezérlők azonban nem igénylik a jegy-aláírást. Ez lehetővé teszi a kezdeti üzembe helyezési fázis (a decemberi kezdeti frissítésre frissített DCS-k) és a frissített tartományvezérlők vegyesen használhatók egymás mellett. Az összes tartományvezérlő frissítésének és az 1-es beállításnakmegfelelően az összes új jegy alá lesz írva. Ebben a módban az új jegyeket megújulóként jelöli meg a rendszer. 2:Kényszerítési mód bekapcsolása Ez lehetővé teszi a javítást kötelező módban, ahol az összes tartományt frissíteni kell, és az Active Directory-tartományvezérlők mindegyikéhez kerberos szolgáltatási jegyeket kell megadni aláírással. Ebben a beállításban az összes jegynek be kell jelentkezve lennie ahhoz, hogy érvényesnek minősülnek. Ebben a módban a jegyek újra megújulóként lesznek megjelölve. 0:Nem ajánlott. Letiltja a Kerberos-szolgáltatásjegyek aláírását, és tartományai nem védettek. Fontos: A 0 érték nem kompatibilis a 2-es kényszerítési beállítással. Időnként előfordulhatnak hitelesítési hibák, ha a Kényszerítési módot a későbbi fázisban alkalmazzák, miközben a tartomány 0-ra van állítva. Azt javasoljuk az ügyfeleknek, hogy a kényszerítési szakasz előtt (legalább egy héttel a kényszerítés alkalmazása előtt) az 1-es beállításra lépjenek. |
Alapértelmezett |
1 (ha a beállításkulcs nincs beállítva) |
Újraindítás szükséges? |
Nem |