Fontos: A cikkben korábban említett kibocsátási dátumok megváltoztak. Kérjük, vegye figyelembe az új kiadási dátumokat a "Művelet" és a "Windows-frissítések időzítése" szakaszban.

Összefoglalás

A biztonsági funkciók megkerülését lehetővé t térő biztonsági rés abban a módban létezik, ahogyan a Kulcseloszlási központ meghatározza, hogy a Kerberos szolgáltatási jegy használható-e delegálásra a Kerberos korlátozott delegálásán keresztül. A biztonsági rés kiaknázása érdekében a KCD használatára konfigurált illetéktelenül használt szolgáltatás meghamisíthat egy olyan Kerberos-szolgáltatási jegyet, amely nem érvényes meghatalmazáshoz, és kényszeríti a KDC-t annak elfogadására. Ezek a Windows-frissítések a biztonsági rést úgy szüntetik meg, hogy módosítják, hogy a KDC hogyan érvényesíti a KCD-vel használt Kerberos-szolgáltatási jegyeket.

A biztonsági résről további információt a CVE-2020-17049-es CVE-ben olvashat. 

Művelet

A környezet védelme és a kimaradások megelőzése érdekében az alábbi lépéseket kell követnie:

  1. Frissítse az Active Directory tartományvezérlői szerepkört szolgáltató összes eszközt legalább egy Windows-frissítés telepítésével 2020. december 8. és 2021. március 9. között. Vegye figyelembe, hogy a Windows-frissítés telepítése nem csökkenti teljes mértékben a biztonsági rést. A 2. és a 3. lépést is el kell végeznie.

  2. Frissítse az Active Directory tartományvezérlői szerepkört szolgáltató összes eszközt a 2021. április 13-i Windows-frissítés telepítésével.

  3. Engedélyezés Kényszerítési mód az összes Active Directory-tartományvezérlőn.

  4. A 2021. július 13-i kényszerítési fázis frissítéstől kezdődően a Kényszerítési mód minden Windows-tartományvezérlőn engedélyezve lesz.

A Windows-frissítések időzítése

Ezek a Windows-frissítések három fázisban fognak megjelenni:

  • A 2020. december 8-án vagy azt követően kiadott Windows-frissítések kezdeti telepítési fázisa.

  • Egy második telepítési fázis, amely eltávolítja a PerformTicketSignature0 beállítást, és 1-es vagy 2-esbeállítást igényel, 2021. április 13-án vagy azt követően.

  • A 2021. július 13-án vagy azt követően kiadott Windows-frissítések kényszerítési fázisa.

2020. december 8.: Kezdeti telepítési fázis

A kezdeti telepítési fázis a 2020. december 8-án kiadott Windows-frissítéssel kezdődik, és a kényszerítési fázishoz egy későbbi Windows-frissítéssel folytatódik. Ezek és újabb Windows-frissítések módosítják a Kerberos-t. Ez a 2020. december 8-i frissítés tartalmazza a CVE-2020-17049 2020. november 10-én bevezetett összes ismert probléma javítását. Ez a frissítés a Windows Server 2008 SP2 és a Windows Server 2008 R2 támogatását is támogatja.

Ez a kiadás:

  • Címek: CVE-2020-17049 (alapértelmezés szerint Telepítési módban).

  • Támogatja a PerformTicketSignature beállításjegyzékbeli értéket, hogy az Active Directory tartományvezérlő-kiszolgálókon is lehetővé tegye a védelmet. Ez az érték alapértelmezés szerint nem létezik.

A megoldás magában foglalja a Windows-frissítések telepítését minden olyan eszközön, amely az Active Directory tartományvezérlői szerepkört és írásvédett tartományvezérlőket (CSAK OLVASHATÓ tartományvezérlőket) tartalmazza, majd engedélyezi a Kényszerítési módot.

2021. április 13.:Második üzembe helyezési fázis

A második telepítési fázis a 2021. április 13-án kiadott Windows-frissítéssel kezdődik. Ez a fázis eltávolítja a PerformTicketSignature0 beállítást. A PerformTicketSignaturebeállításának 0-ra való beállítása a frissítés telepítése után ugyanaz lesz, mint a PerformTicketSignature1érték beállítása. A DCS-k telepítési módban lesznek.

Megjegyzések

  • Ez a fázis nem szükséges, ha a PerformTicketSignature soha nem volt 0-ra állítva a környezetben. Ezzel a fázissal biztosítjuk, hogy a PerformTicketSignature0 értékkel beállított ügyfelek a Kényszerítési fázis előtt az 1-esbeállításra állítsanak át.

  • A 2021. április 13-i frissítések telepítésekor a PerformTicketSignature1-re állításával a szolgáltatási jegyek megújíthatók lesznek. Ez a 2021. áprilisi Windows-frissítések viselkedésében változott, amikor a PerformTicketSignature 1-re való beállítása miatt a szolgáltatási jegyek nem válthatók újra.

  • Ez a frissítés abból indul ki, hogy az összes tartományvezérlő frissítve van a 2020. december 8-i vagy újabb frissítésekkel.

  • A frissítés telepítése után a PerformTicketSignature1-es vagy újabb, nem támogatott Windows Server-tartományvezérlők nem működnek többé a támogatott tartományvezérlőkhöz, illetve manuálisan vagy programozással nem működnek. Ide tartozik a Windows Server 2008 és a Kiterjesztett biztonsági frissítések nélküli Windows Server 2008 R2 és a Windows Server 2003.

2021. július 13.:Végrehajtási fázis

A 2021. július 13-i kiadás áttűn a végrehajtási fázisra. A kényszerítési fázis érvényesíti a CVE-2020-17049 cím módosításait. Az Active Directory-tartományvezérlők mostantól képesek a Kényszerítési módra. A Kényszerítési módra való váltáshoz minden Active Directory-tartományvezérlőn telepítve kell lennie a 2020. december 8-i vagy újabb Windows-frissítésnek. A PerformTicketSignature beállításkulcs beállításait a rendszer figyelmen kívül hagyja, és a Kényszerítési módot nem lehet felülírni. 

Telepítési útmutató

A frissítés telepítése előtt

A frissítés telepítése előtt telepítenie kell az alábbi szükséges frissítéseket. Ha a Windows Update-et használja, a rendszer automatikusan felajánlja ezeket a szükséges frissítéseket.

  • A frissítés telepítése előtt telepítenie kell a 2019. szeptember 23-i vagy újabb SHA-2 frissítést(KB4474419)kell telepítenie, majd újra kell indítania az eszközt. Az SHA-2 frissítésekkel kapcsolatos további információkért lásd a 2019-es SHA-2kódalá aláíró támogatási követelményt a Windows és a WSUS esetén.

  • Windows Server 2008 R2 SP1 esetén a 2019. március 12-én kelt SSU(KB4490628) frissítésnek (KB4490628)kell lennie. A KB4490628 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésről az ADV990001 | Legújabb karbantartási kötegfrissítések.

  • Windows Server 2008 SP2 esetén a 2019. április 9-i frissítésnek(KB4493730) (KB4493730)kell telepítve lennie. A KB4493730 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésekről az ADV990001 | Legújabb karbantartási kötegfrissítések.

  • Az ügyfeleknek meg kell vásárolniuk a Kiterjesztett biztonsági frissítést a Windows Server 2008 SP2 vagy a Windows Server 2008 R2 SP1 helyszíni verzióihoz, miután a kiterjesztett támogatás 2020. január 14-én véget ért. A biztonsági frissítések fogadásának folytatásához az esu-t megvásároló ügyfeleknek a KB4522133-as eljárást kell követniük. Az ESU-val és a támogatott kiadásokkal kapcsolatos további információkért lásd: KB4497181.

Fontos!A szükséges frissítések telepítése után újra kell indítania az eszközt.

Az összes frissítés telepítése

A biztonsági rés elhárításához telepítse az összes Windows-frissítést, és engedélyezze a Kényszerítési módot az alábbi lépésekkel:

  1. 2020. december 8. és 2021. március 9. között legalább egy frissítést telepíthet az Active Directory összes tartományvezérlőjére az erdőben.

  2. Telepítse a 2021. április 12-i frissítést legalább egy héttel az 1. lépés után.

  3. Miután az összes Active Directory-tartományvezérlő frissült, várjon legalább egy teljes hetet, amíg az összes, felhasználó önkiszolgáló szolgáltatása (S4U2self) kerberos szolgáltatási jegye lejár, majd az Active Directory tartományvezérlők kényszerítési módjának telepítésével teljes védelmet engedélyezhet.

    Megjegyzések

    • Ha módosította a Kerberos szolgáltatási jegy lejárati időértékét az alapértelmezett beállításokból (az alapértelmezett érték 7 nap), akkor legalább a környezetben konfigurált napok számát meg kell várnia.

    • Ezek a lépések feltételezik, hogy a PerformTicketSignature még nincs 0-ra állítva a környezetében. Ha a PerformTicketSignature érték 0,akkor a 2-es beállítás (kényszerítési mód) beállítása előtt az 1-es beállításra kell lépnie, és legalább egy héttel meg kell várnia, hogy a felhasználó összes kiemelkedő Szolgáltatása (S4U2self) kerberos szolgáltatási jegye lejárjon. Ne lépjen közvetlenül a 0 értékről a 2-es beállításra (Kényszerítési mód).


1. lépés: Windows-frissítések telepítése

Telepítse a megfelelő 2020. december 8-i Windows-frissítést vagy újabb Windows-frissítést minden olyan eszközre, amely az Active Directory tartományvezérlői szerepkört az erdőbe telepíti, beleértve az írásra alkalmas tartományvezérlőket is.

Windows Server-termék

KB #

Frissítés típusa

Windows Server, 20H2-es verzió (Server Core installation)

4592438

Biztonsági frissítés

Windows Server, 2004-es verzió (Server Core telepítés)

4592438

Biztonsági frissítés

Windows Server, 1909-es verzió (Server Core telepítés)

4592449

Biztonsági frissítés

Windows Server, 1903-as verzió (Server Core telepítés)

4592449

Biztonsági frissítés

Windows Server 2019 (Server Core telepítés)

4592440

Biztonsági frissítés

Windows Server 2019

4592440

Biztonsági frissítés

Windows Server 2016 (Server Core telepítés)

4593226

Biztonsági frissítés

Windows Server 2016

4593226

Biztonsági frissítés

Windows Server 2012 R2 (Server Core telepítés)

4592484

Havi összegző összegző

4592495

Csak biztonság

Windows Server 2012 R2

4592484

Havi összegző összegző

4592495

Csak biztonság

Windows Server 2012 (Server Core telepítés)

4592468

Havi összegző összegző

4592497

Csak biztonság

Windows Server 2012

4592468

Havi összegző összegző

4592497

Csak biztonság

Windows Server 2008 R2 Service Pack 1

4592471

Havi összegző összegző

4592503https://support.microsoft.com/help/4592503

Csak biztonság

Windows Server 2008 Service Pack 2

4592498

Havi összegző összegző

4592504https://support.microsoft.com/help/4592504

Csak biztonság

2. lépés: A Kényszerítési mód engedélyezése

Az Active Directory tartományvezérlői szerepkört szolgáltató összes eszköz frissítése után várjon legalább egy teljes hetet, amíg az összes kiemelkedő S4U2self Kerberos szolgáltatási jegy lejár. Ezután engedélyezze a teljes védelmet a Kényszerítési mód telepítéséhez. Ehhez engedélyezze a Kényszerítési mód beállításkulcsát.

Figyelmeztetés: Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ilyen problémák esetén előfordulhat, hogy újra kell telepítenie az operációs rendszert. A Microsoft nem garantálja, hogy ezek a problémák megoldhatók. Módosítsa a beállításjegyzéket saját kockázatra.

Megjegyzés: Ez a frissítés a következő beállításjegyzékbeli érték támogatását tartalmazza a Kényszerítési mód engedélyezéséhez. Ez a beállításjegyzékbeli érték nem jön létre a frissítés telepítésével. Ezt a beállításkulcsot manuálisan kell hozzáadnia.

Beállításalkulcs

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Érték

PerformTicketSignature

Adattípus

REG_DWORD

Érték

1:Engedélyezi a telepítési módot. A javítás engedélyezve van a tartományvezérlőn, de az Active Directory-tartományvezérlő nem követeli meg, hogy a Kerberos szolgáltatási jegyei megfeleljenek a javításnak. Ez a mód a CVE-2020-17049 frissített tartományvezérlőkön támogatja a jegyaláírásokat, a tartományvezérlők azonban nem igénylik a jegy-aláírást. Ez lehetővé teszi a kezdeti üzembe helyezési fázis (a decemberi kezdeti frissítésre frissített DCS-k) és a frissített tartományvezérlők vegyesen használhatók egymás mellett. Az összes tartományvezérlő frissítésének és az 1-es beállításnakmegfelelően az összes új jegy alá lesz írva. Ebben a módban az új jegyeket megújulóként jelöli meg a rendszer.

2:Kényszerítési mód bekapcsolása Ez lehetővé teszi a javítást kötelező módban, ahol az összes tartományt frissíteni kell, és az Active Directory-tartományvezérlők mindegyikéhez kerberos szolgáltatási jegyeket kell megadni aláírással. Ebben a beállításban az összes jegynek be kell jelentkezve lennie ahhoz, hogy érvényesnek minősülnek. Ebben a módban a jegyek újra megújulóként lesznek megjelölve.

0:Nem ajánlott. Letiltja a Kerberos-szolgáltatásjegyek aláírását, és tartományai nem védettek.

Fontos: A 0 érték nem kompatibilis a 2-es kényszerítési beállítással. Időnként előfordulhatnak hitelesítési hibák, ha a Kényszerítési módot a későbbi fázisban alkalmazzák, miközben a tartomány 0-ra van állítva. Azt javasoljuk az ügyfeleknek, hogy a kényszerítési szakasz előtt (legalább egy héttel a kényszerítés alkalmazása előtt) az 1-es beállításra lépjenek.

Alapértelmezett

1 (ha a beállításkulcs nincs beállítva)

Újraindítás szükséges?

Nem

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Mennyire elégedett a fordítás minőségével?
Mi befolyásolta a felhasználói élményét?

Köszönjük a visszajelzését!

×