Összefoglalás

A 2021. július 13-Windows és későbbi frissítések Windows biztosítják a CVE-2021-33757-et.

A 2021. július 13-i Windows-frissítések vagy újabb Windows-frissítések telepítése után az Advanced Encryption Standard (AES) titkosítás lesz az előnyben részesített módszer az Windows-ügyfeleken a régi MS-SAMR protokoll használata esetén a jelszóművelethez, ha az SAM-kiszolgáló támogatja az AES-titkosítást. Ha az SAM-kiszolgáló nem támogatja az AES-titkosítást, a régi RC4-titkosításra való visszalépés engedélyezve lesz.

A CVE-20201-33757 módosításai az MS-SAMR protokollra jellemzőek, és függetlenek a többi hitelesítési protokolltól. Az MS-SAMR az SMB RPC-n keresztül és elnevezett vezetékeket használ. Bár az SMB szintén támogatja a titkosítást, alapértelmezés szerint nincs engedélyezve. Alapértelmezés szerint a CVE-20201-33757 módosításai engedélyezve vannak, és további biztonságot nyújtanak a SAM-rétegben. A CVE-20201-33757-20201-33757-re vonatkozó, a 2021. július 13-án Windows- vagy újabb Windows-frissítésekben szereplő frissítések telepítése után nincs szükség további konfigurációs módosításokra a Windows. A nem támogatott Windows verziókat meg kell szakítani, vagy egy támogatott verzióra kell frissíteni.

Megjegyzés: A CVE-2021-33757 csak az MS-SAMR protokoll meghatározott API-inak használata esetén módosítja a jelszavak átvitel közbeni titkosítását, és kifejezetten azt, hogy a jelszavak tárolása ne módosítható. Arról, hogy a jelszavak hogyan titkosítva vannak az Active Directoryban, illetve helyileg a SAM-adatbázisban (beállításjegyzékben) a Jelszavak áttekintése témakörben talál.

További információ 

A meglévő SamrConnect5-módszert általában a SAM-ügyfél és a kiszolgáló közötti kapcsolat létesítéséhez használják.

A frissített kiszolgáló mostantól egy új bitet ad vissza a SamrConnect5() válaszban a következő SAMPR_REVISION_INFO_V1. 

Érték

Jelentés

0x00000010

Az ügyfél által küldött nyugtáknál ez az érték , ha be van állítva, azt jelenti, hogy az ügyfélnek SAMPR_ENCRYPTED_PASSWORD_AES-titkosítási titkosítási titkosítással kell használnia a jelszó pufferét a vezetéken keresztüli adatokat küldve. Lásd az AES Cipher-használat (3.2.2.4-esszakasz) és SAMPR_ENCRYPTED_PASSWORD_AES (2.2.6.32-es szakasz).

Ha a frissített kiszolgáló támogatja az AES-t, az ügyfél új módszereket és új információs osztályokat fog használni a jelszóművelethez. Ha a kiszolgáló nem adja vissza ezt a jelölőt, vagy ha az ügyfél nem frissül, az ügyfél visszatér a korábbi, RC4 titkosítással használt módszerekre.

A jelszókészlet-műveletek írható tartományvezérlőt (RWDC) igényelnek. A jelszóváltozásokat a CSAK olvasható tartományvezérlő (TOC) továbbítja egy RWDC-re. Az AES csak akkor használható, ha az összes eszközt frissíteni kell. Például:

  • Ha az ügyfél, a MINTAKC vagy az RWDC nem frissül, RC4-titkosítást fog használni.

  • Ha az ügyfél, a SSLC és az RWDC frissítésre kerül, AES-titkosítást fog használni.

A 2021. július 13-i frissítések négy új eseményt is hozzáadnak a rendszernaplóhoz, így könnyebben azonosíthatók a nem frissített eszközök, és javítható a biztonság.

  • Configuration state Event ID 16982 or 16983 is logged on startup or upon a registry configuration change.16982-es eseményazonosító

    Eseménynapló

    Rendszer

    Eseményforrás

    Directory-Services-SAM

    Eseményazonosító

    16982

    Szint

    Információ

    Esemény üzenetszövege

    A biztonsági fiókkezelő mostantól részletes eseményeket naplóz az olyan távoli ügyfelek számára, amelyek régi jelszóváltozásokat hívnak meg vagy RPC-módszereket állítanak be. Ez a beállítás nagyszámú üzenetet okozhat, és csak rövid ideig használható a problémák diagnosztizálására.

    16983-as eseményazonosító

    Eseménynapló

    Rendszer

    Eseményforrás

    Directory-Services-SAM

    Eseményazonosító

    16983

    Szint

    Információ

    Esemény üzenetszövege

    A biztonsági fiókkezelő mostantól rendszeres összefoglaló eseményeket naplózást naplózást alkalmaz a régi jelszóváltozásokat hívó vagy RPC-módszereket beállítva távoli ügyfelek számára.

  • A 2021. július 13-i frissítés telepítése után a rendszer 60 percenként naplóz egy 16984-es összefoglaló eseményt a rendszer eseménynaplójában.16984-es eseményazonosító

    Eseménynapló

    Rendszer

    Eseményforrás

    Directory-Services-SAM

    Eseményazonosító

    16984

    Szint

    Információ

    Esemény üzenetszövege

    A biztonsági fiókkezelő a %x régi jelszóváltozást észlelte, vagy az elmúlt 60 percben beállította az RPC-metódus hívásait.

  • A részletes eseménynaplózás konfigurálása után a rendszer minden alkalommal naplózza az 16985-ös eseményazonosítót a rendszer, amikor egy régi RPC-módszert használ a fiókjelszó módosítása vagy beállítása során.16985-ös eseményazonosító

    Eseménynapló

    Rendszer

    Eseményforrás

    Directory-Services-SAM

    Eseményazonosító

    16985

    Szint

    Információ

    Esemény üzenetszövege

    A biztonsági fiókkezelő észlelte egy hálózati ügyfélprogram régi típusú módosítás vagy RPC-módszerének használatát. Fontolja meg az ügyfél operációs rendszerének vagy alkalmazásának frissítését a módszer legújabb és biztonságosabb verziójának használatára.

    Részletek:

    RPC-módszer: %1

    Ügyfél hálózati címe: %2

    Client SID: %3

    Felhasználónév: %4 

    Részletes eseményazonosító (16985) naplózásához a kiszolgálón vagy a tartományvezérlőn az alábbi beállításjegyzék-értéket kell át- vagy bekapcsolni.

    Elérési út

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Típus

    REG_DWORD

    Érték neve

    AuditLegacyPasswordRpcMethods

    Érték

     1 = a részletes naplózás engedélyezve van

     0 vagy nincs jelen = a részletes naplózás le van tiltva. Csak összefoglaló események. (Alapértelmezett)

A SamrUnicodeChangePasswordUser4 (Opnum 73) szoftverben leírtak szerint, amikor az új SamrUnicodeChangePasswordUser4 módszert használja, az ügyfél és a kiszolgáló a PBKDF2-algoritmus segítségével a régi egyszerű szöveges jelszóból származtat egy titkosítási és visszafejtési kulcsot. Ennek az az oka, hogy a régi jelszó az egyetlen olyan gyakori titkos jelszó, amely a kiszolgáló és az ügyfél számára is ismert.  

További információ a PBKDF2-ről: BCryptDeriveKeyPBKDF2 függvény (bcrypt.h).

Ha teljesítmény- és biztonsági okokból módosítania kell a beállításokat, módosíthatja az ügyfélprogram által a jelszó módosításához használt PBKDF2-iterációk számát, ha az ügyfélen beállítja az alábbi beállításjegyzékbeli értéket.

Megjegyzés: A PBKDF2-iterációk számának csökkentése csökkenti a biztonságot.  Nem javasoljuk, hogy a szám az alapértelmezett értékről ússa le. Azt javasoljuk azonban, hogy a lehető legtöbb PBKDF2-iterációt használja.

Elérési út 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Típus 

REG_DWORD 

Érték neve 

PBKDF2Iterations 

Érték 

Minimum 5000 és legfeljebb 1 000 000

Alapértelmezett érték 

10,000  

Megjegyzés: A PBKDF2 nem használható jelszókészlet-műveletekhez. Jelszókészlet-műveleteknél az SMB-munkamenet kulcsa az ügyfél és a kiszolgáló közötti megosztott titkos kulcs, amely a titkosítási kulcsok származtatásának alapjaként szolgál. 

További információ: SMB-munkamenetkulcs megszerzése.

Gyakori kérdések

A visszalépés akkor történik, ha a kiszolgáló vagy az ügyfél nem támogatja az AES-t.   

A frissített kiszolgálók az RC4-es régebbi módszerek használata esetén naplóznak eseményeket. 

Jelenleg nincs elérhető kényszerítési mód, de lehet, hogy a jövőben is érvénybe lép. Nincs dátum. 

Ha egy külső eszköz nem használja a SAMR protokollt, ez nem fontos. Az MS-SAMR protokollt implementáló külső gyártók választhatnak a implementálja ezt a lehetőséget. Ha kérdése van, forduljon a külső szállítóhoz. 

Nincs szükség további módosításokra.  

Ez a protokoll régi, és előre számítunk arra, hogy a protokoll használata nagyon alacsony. A régebbi alkalmazások ezeket az API-kat is használhatjak. Ezenkívül egyes Active Directory-eszközök (például az AD-felhasználók és a számítógépek mmC) SAMR-t is használnak.

nem. Csak az adott SAMR API-kat felhasználó jelszóváltozások érintik.

igen. A PBKDF2 olcsóbb, mint az RC4. Ha egyidejűleg sok jelszóváltozás történik a SamrUnicodeChangePasswordUser4 API-t hívó tartományvezérlőn, az hatással lehet az LSASS processzorterhelésére. Szükség esetén finomhangolhatja a PBKDF2 iterációkat az ügyfeleken, de nem javasoljuk az alapértelmezett értékről való csökkenést, mert ez csökkenti a biztonságot.  

Hivatkozások

Hitelesített titkosítás AES-CBC-vel és HMAC-SHA-val

AES Cipher-használat

Harmadik felektől származó információkra vonatkozó jognyilatkozat

Külső kapcsolattartási adatokat adunk meg, hogy technikai támogatást talál. Ezek a kapcsolattartási adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a külső felek kapcsolattartási információinak pontosságát.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.