|
PENTING Tanggal untuk mode Penerapan seperti yang sebelumnya disebutkan dalam artikel ini telah berubah menjadi 9 Maret 2021. |
Ringkasan
Jika Anda menggunakan Pengguna Terproteksidan Delegasi Terbatas Berbasis Sumber Daya (RBCD), kerentanan keamanan mungkin terjadi pada pengontrol domain Direktori Aktif. Untuk mempelajari selengkapnya tentang kerentanan keamanan, lihat ESCUDO-2020-16996.
|
Mengambil Tindakan Untuk melindungi lingkungan Anda dan mencegah terjadinya pemadaman, Anda harus melakukan hal berikut:
|
Pengaturan waktu pembaruan
Pembaruan Windows akan dirilis dalam dua tahap:
-
Fase penyebaran awal untuk Windows yang dirilis pada atau setelah 8 Desember 2020.
-
Fase pemberlakuan untuk Windows pembaruan yang dirilis pada atau setelah 9 Maret 2021.
8 Desember 2020: Fase Penyebaran Awal
Fase penyebaran awal dimulai dengan pembaruan Windows 8 Desember 2020 dan berlanjut dengan pembaruan Windows berikutnya untuk fase Pemberlakuan. Pembaruan ini dan Windows akan melakukan perubahan pada Kerberos.
Rilis ini:
-
Membahas PROXY-2020-16996 (dinonaktifkan secara default).
-
Tambahkan dukungan untuk nilai registri NonForwardableDelegation untuk mengaktifkan proteksi pada server pengontrol domain Direktori Aktif. Secara default, nilai tidak ada.
Mitigasi terdiri dari penginstalan pembaruan Windows di semua perangkat yang menghosting peran pengontrol domain Direktori Aktif dan pengontrol domain baca-saja (CS), lalu mengaktifkan mode Penerapan.
9 Maret 2021: Fase Penerapan
Rilis 9 Maret 2021 beralih ke fase pemberlakuan. Fase pemberlakuan memberlakukan perubahan untuk alamat ESCUDO-2020-16996. Pengontrol domain Direktori Aktif kini akan berada dalam mode Penerapan, kecuali kunci registri mode penerapan diatur ke 1 (Dinonaktifkan). Jika kunci registri Mode penerapan diatur, pengaturan akan diberlakukan. Masuk ke mode Penerapan mengharuskan semua pengontrol domain Direktori Aktif memiliki instalan pembaruan 8 Desember 2020 atau yang lebih baru.
Panduan instalasi
Sebelum menginstal pembaruan ini
Pembaruan berikut ini harus terinstal sebelum menerapkan pembaruan ini. Jika Anda menggunakan Windows Pembaruan, pembaruan yang diperlukan ini akan ditawarkan secara otomatis jika diperlukan.
-
Anda harus memiliki pembaruan SHA-2 (KB4474419) tanggal 23 September 2019 atau pembaruan SHA-2 yang lebih baru yang terinstal lalu hidupkan ulang perangkat Anda sebelum menerapkan pembaruan ini. Untuk informasi selengkapnya tentang pembaruan SHA-2, lihat Persyaratan Dukungan Penandatanganan Kode SHA-2 2019untuk Windows dan WSUS.
-
Untuk Windows Server 2008 R2 SP1, Anda harus menginstal pembaruan tumpukan pelayanan (SSU) (KB4490628) tanggal 12 Maret 2019. Setelah pembaruan KB4490628 diinstal, kami menyarankan agar Anda menginstal pembaruan SSU terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan Tumpukan Pelayanan Terbaru.
-
Untuk Windows Server 2008 SP2, Anda harus menginstal pembaruan tumpukan pelayanan (SSU) (KB4493730) tanggal 9 April 2019. Setelah pembaruan KB4493730 diinstal, kami menyarankan agar Anda menginstal pembaruan SSU terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan Tumpukan Pelayanan Terbaru.
-
Pelanggan harus membeli Pembaruan Keamanan Diperluas (ESU, Extended Security Update) untuk versi lokal Windows Server 2008 SP2 atau Windows Server 2008 R2 SP1 setelah dukungan tambahan berakhir pada 14 Januari 2020. Pelanggan yang telah membeli ESU harus mengikuti prosedur dalam KB4522133 untuk terus menerima pembaruan keamanan. Untuk informasi selengkapnya tentang ESU dan edisi mana yang didukung, lihat KB4497181.
PentingAnda harus menghidupkan ulang perangkat setelah menginstal pembaruan yang diperlukan ini.
Instal pembaruan
Untuk mengatasi kerentanan keamanan, instal pembaruan Windows mengaktifkan mode Penerapan dengan mengikuti langkah-langkah berikut ini.
|
Peringatan Masalah autentikasi yang sering terjadi jika Windows diperbarui dan nilai registri diterapkan secara tidak konsisten di salah satu atau kedua skenario berikut:
Penting Baik Windows terbaru dan nilai registri harus diterapkan secara konsisten pada PENGONTROL domain SEMUA Direktori Aktif dalam lingkungan Anda. |
Langkah 1: Instal Windows baru
Instal pembaruan 8 Desember 2020 Windows atau pembaruan Windows baru ke semua perangkat yang menghosting peran pengontrol domain Direktori Aktif di hutan, termasuk pengontrol domain baca-saja.
|
produk Windows Server |
KB # |
Tipe pembaruan |
|
Windows Server, versi 20H2 (Instalasi Inti Server) |
Pembaruan Keamanan |
|
|
Windows Server, versi 2004 (instalasi Server Core) |
Pembaruan Keamanan |
|
|
Windows Server, versi 1909 (instalasi Server Core) |
Pembaruan Keamanan |
|
|
Windows Server, versi 1903 (Instalasi Server Core) |
Pembaruan Keamanan |
|
|
Windows Server 2019 (penginstalan Server Core) |
Pembaruan Keamanan |
|
|
Windows Server 2019 |
Pembaruan Keamanan |
|
|
Windows Server 2016 (instalasi Server Core) |
Pembaruan Keamanan |
|
|
Windows Server 2016 |
Pembaruan Keamanan |
|
|
Windows Server 2012 R2 (Instalasi Server Core) |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2012 R2 |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2012 (instalasi Server Core) |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2012 |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2008 R2 Service Pack 1 |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2008 Paket Layanan 2 |
Rollup Bulanan |
|
|
Keamanan Saja |
Langkah 2: Aktifkan mode Penerapan
Setelah semua perangkat yang menjadi host peran pengontrol domain Direktori Aktif telah diperbarui, tunggu setidaknya satu hari penuh untuk memperbolehkan semua layanan terulang bagi pengguna untuk tiket layanan Kerberos Mandiri (S4U2self) kedaluwarsa. Lalu, aktifkan perlindungan penuh dengan menggunakan mode Penerapan. Untuk melakukan ini, aktifkan kunci registri mode Penerapan.
Peringatan Masalah serius mungkin terjadi jika Anda salah mengubah registri menggunakan Editor Registri atau menggunakan metode lain. Masalah ini mungkin mengharuskan Anda menginstal ulang sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diselesaikan. Modifikasi registri dengan risiko yang Anda miliki.
Note Nilai registri ini tidak dibuat dengan menginstal pembaruan ini. Anda harus menambahkan nilai registri ini secara manual.
|
Subkey registri |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Nilai |
NonForwardableDelegation |
|
Tipe data |
REG_DWORD |
|
Data |
1: Menonaktifkan mode penerapan. 0: Mengaktifkan mode penerapan. Ini adalah negara bagian yang diproteksi. |
|
Default |
1 |
|
Apakah Perlu mulai ulang? |
Tidak |
Catatan tentang nilai registri "
NonForwardableDelegation":
-
Jika nilai registri ditetapkan, nilai akan diprioritaskan lebih tinggi dari pengaturan mode Penerapan yang disertakan dalam pembaruan 9 Maret 2021 Windows 2021.
-
Jika nilai registri diatur ke 1 (Nonaktifkan), penerusan akan diperbolehkan pada tiket layanan Kerberos yang TIDAK ditandai sebagai diteruskan.
-
Jika nilai registri diatur ke 0 (Aktifkan), penerusan TIDAK akan diperbolehkan pada tiket layanan Kerberos yang TIDAK ditandai sebagai penerusan.
-
-
Jika domain Anda menyertakan Windows Server 2008 R2 atau pengontrol domain Direktori Aktif yang lebih lama, Anda tidak harus mengatur mode Penerapan karena pengontrol domain ini tidak mendukung RBCD.
-
Kegagalan untuk memperbarui semua pengontrol domain Direktori Aktif secara konsisten ketika mengaktifkan mode Penerapan akan menghasilkan kegagalan delegasi layanan yang sering terjadi.
-
Sebelum mengatur mode Penerapan:
-
Semua pengontrol domain Direktori Aktif harus diperbarui dengan pembaruan 8 Desember 2020 Windows atau pembaruan Windows terbaru, dan
-
Semua tiket layanan S4USelf Kerberos yang masih berlaku harus kedaluwarsa dengan menunggu satu hari setelah menyelesaikan Windows penyebaran pembaruan ke semua pengontrol domain Direktori Aktif.
-
Pertimbangan tambahan
Ketika proteksi ini diaktifkan, logika ini menyatukan logika untuk delegasi Resource-Based Constrained Delegation (RBCD) dengan delegasi asli yang dibatasi. Hal ini dapat menimbulkan masalah dalam dua skenario berikut:
-
Satu layanan secara bersamaan menggunakan Delegasi Terbatas Kerberos (KCD) asli tanpa transisi protokol ke satu target saat menggunakan RBCD dengan transisi protokol ke layanan lain. Setelah perubahan ini, penolakan transisi protokol akan diterapkan ke kedua gaya delegasi.
-
RBCD digunakan di domain yang menggunakan pengontrol domain yang tidak diperbarui dengan LAUNCHER-2020-16996 atau menjalankan versi Windows Server yang lebih lama (lebih lama dari Window Server 2012) yang tidak memiliki pembaruan untukPROGRAM-2020-16996. Pusat Distribusi Utama (KDCs) yang tidak diperbarui tidak akan menandai tiket layanan Kerberos S4USelf sebagai ok untuk delegasi dan transisi protokol akan ditolak.
