Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Penting: Tanggal rilis yang sebelumnya diindikasikan dalam artikel ini telah berubah. Harap perhatikan tanggal rilis baru dalam bagian "Ambil tindakan" dan "pengaturan waktu pembaruan Windows ini".

Ringkasan

Kerentanan bypass fitur keamanan ada dalam cara pusat distribusi kunci (KDC) menentukan apakah tiket Layanan Kerberos dapat digunakan untuk delegasi melalui delegasi Kerberos yang dibatasi (KCD). Untuk memanfaatkan kerentanan, Layanan yang disusupi yang dikonfigurasi untuk menggunakan KCD bisa mengutak-atik tiket Layanan Kerberos yang tidak valid untuk delegasi untuk memaksa KDC menerimanya. Pembaruan Windows ini membahas kerentanan ini dengan mengubah cara KDC memvalidasi tiket Layanan Kerberos yang digunakan dengan KCD.

Untuk mempelajari selengkapnya tentang kerentanan ini, lihat CVE-2020-17049

Ambil tindakan

Untuk melindungi lingkungan Anda dan mencegah padam, Anda harus mengikuti semua langkah berikut:

  1. Perbarui semua perangkat yang menghosting peran pengontrol domain direktori aktif dengan menginstal setidaknya satu dari pembaruan Windows antara 8 Desember 2020 dan 9 Maret 2021. Ketahuilah bahwa menginstal pembaruan Windows tidak mengurangi kerentanan keamanan. Anda juga harus melakukan langkah 2 dan 3.

  2. Perbarui semua perangkat yang menjadi host peran pengontrol domain direktori aktif dengan menginstal pembaruan Windows 13 April 2021.

  3. Mengaktifkan Mode penegakan pada semua pengontrol domain direktori aktif.

  4. Dimulai dengan pembaruan fase penerapan tanggal 2021 13 Juli, mode penegakan akan diaktifkan pada semua pengontrol domain Windows.

Pengaturan waktu pembaruan Windows ini

Pembaruan Windows ini akan dirilis dalam tiga fase:

  • Fase penyebaran awal untuk pembaruan Windows dirilis pada atau setelah 8 Desember 2020.

  • Fase penyebaran kedua yang menghapus pengaturan Performticketsignature0 dan memerlukan pengaturan 1 atau 2, pada atau setelah 13 April 2021.

  • Fase penegakan pembaruan untuk Windows dirilis pada atau setelah 13 Juli 2021.

8 Desember 2020: fase penyebaran awal

Fase penyebaran awal dimulai dengan pembaruan Windows yang dirilis pada 8 Desember 2020 dan dilanjutkan dengan pembaruan Windows yang lebih baru untuk fase penegakan. Pembaruan Windows dan yang lebih baru ini membuat perubahan ke Kerberos. Pembaruan 8 Desember 2020 ini menyertakan perbaikan untuk semua masalah yang diketahui yang awalnya diperkenalkan oleh rilis 10 November 2020 CVE-2020-17049. Pembaruan ini juga menambahkan dukungan untuk Windows Server 2008 SP2 dan Windows Server 2008 R2.

Rilis ini:

  • Alamat CVE-2020-17049 (dalam mode Deployment secara default).

  • Menambahkan dukungan untuk nilai registri Performticketsignature untuk mengaktifkan proteksi pada server pengontrol domain direktori aktif. Secara default, nilai ini tidak ada.

Mitigasi terdiri dari instalasi pembaruan Windows pada semua perangkat yang menghosting peran kontroler domain direktori aktif dan pengontrol domain baca-saja (RODCs), lalu memungkinkan mode penegakan.

13 April 2021: fase penyebaran kedua

Fase penyebaran kedua dimulai dengan pembaruan Windows yang dirilis pada 13 April 2021. Fase ini menghapus pengaturan Performticketsignature0. Pengaturan performticketsignature ke 0 setelah pembaruan ini diinstal akan memiliki efek yang sama seperti pengaturan performticketsignature ke 1. DC akan berada dalam mode penyebaran.

Catatan

  • Fase ini tidak diperlukan jika Performticketsignature tidak pernah diatur ke 0 di lingkungan Anda. Fase ini membantu memastikan bahwa pelanggan yang menetapkan Performticketsignature ke 0 dipindahkan ke pengaturan 1 sebelum fase penegakan .

  • Dengan penerapan pembaruan 13 April 2021, pengaturan Performticketsignature ke 1 akan memungkinkan tiket layanan diperbarui. Ini adalah perubahan perilaku dari pembaruan Windows pra-April 2021 saat menyetel Performticketsignature ke 1 yang menyebabkan tiket Layanan tidak terbarukan.

  • Pembaruan ini mengasumsikan bahwa semua pengontrol domain diperbarui dengan pembaruan 8 Desember 2020 atau yang lebih baru.

  • Setelah menginstal pembaruan ini, dan secara manual atau terprogram pengaturan Performticketsignature ke 1 atau yang lebih tinggi, tidak didukung pengontrol domain Windows Server tidak akan lagi berfungsi dengan pengontrol domain yang didukung. Ini termasuk Windows Server 2008 dan Windows Server 2008 R2 tanpa pembaruan keamanan yang diperluas (ESU), dan Windows Server 2003.

13 Juli 2021: fase penegakan

Rilis 2021 13 Juli transisi ke fase penegakan. Fase penegakan memberlakukan perubahan pada alamat CVE-2020-17049. Pengontrol domain direktori aktif kini dapat dilakukan. Masuk ke mode penegakan mengharuskan semua pengontrol domain direktori aktif memiliki pembaruan 2020 8 Desember atau pembaruan Windows yang lebih baru yang diinstal. Saat ini, pengaturan kunci registri Performticketsignature akan diabaikan dan mode penegakan tidak bisa ditimpa. 

Panduan Instalasi

Sebelum menginstal pembaruan ini

Anda harus memiliki pembaruan diperlukan berikut yang diinstal sebelum Anda menerapkan pembaruan ini. Jika Anda menggunakan Windows Update, pembaruan yang diperlukan ini akan ditawarkan secara otomatis bila diperlukan.

  • Anda harus memiliki pembaruan SHA-2 (KB4474419) tertanggal 23 September 2019 atau pembaruan Sha-2 yang lebih baru terinstal lalu mulai ulang perangkat Anda sebelum Anda menerapkan pembaruan ini. Untuk informasi selengkapnya tentang pembaruan SHA-2, lihat persyaratan dukungan penandatanganan kode Sha-2 2019 untuk Windows dan WSUS.

  • Untuk Windows Server 2008 R2 SP1, Anda harus telah menginstal pembaruan tumpukan Layanan (SSU) (KB4490628) tertanggal 12 Maret 2019. Setelah pembaruan KB4490628 diinstal, kami menyarankan agar Anda menginstal pembaruan Ssu terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan tumpukan layanan terbaru.

  • Untuk Windows Server 2008 SP2, Anda harus telah menginstal Layanan tumpukan pembaruan (SSU) (KB4493730) tertanggal 9 April 2019. Setelah pembaruan KB4493730 diinstal, kami menyarankan agar Anda menginstal pembaruan Ssu terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan tumpukan layanan terbaru.

  • Pelanggan diwajibkan untuk membeli pembaruan keamanan yang diperluas (ESU) untuk versi lokal windows Server 2008 SP2 atau windows Server 2008 R2 SP1 setelah dukungan yang diperpanjang berakhir pada 14 Januari 2020. Pelanggan yang telah membeli ESU harus mengikuti prosedur di KB4522133 untuk terus menerima pembaruan keamanan. Untuk informasi selengkapnya tentang ESU dan edisi mana yang didukung, lihat KB4497181.

Penting Anda harus memulai ulang perangkat setelah menginstal pembaruan yang diperlukan.

Menginstal semua pembaruan

Untuk mengatasi kerentanan keamanan, Instal semua pembaruan Windows dan Aktifkan Mode penegakan dengan mengikuti langkah-langkah berikut:

  1. Menyebarkan setidaknya salah satu pembaruan dari antara 8 Desember 2020 dan 9 Maret 2021 ke semua pengontrol domain direktori aktif dalam Forest.

  2. Menyebarkan pembaruan tanggal 12 April 2021 setidaknya satu atau beberapa minggu setelah langkah 1.

  3. Setelah semua pengontrol domain direktori aktif telah diperbarui, tunggu setidaknya seminggu penuh untuk memperbolehkan semua layanan yang luar biasa untuk tiket Layanan Kerberos pengguna (S4U2self) untuk kedaluwarsa dan kemudian perlindungan penuh dapat diaktifkan dengan menggunakan mode penerapan pengontrol domain direktori aktif.

    Catatan

    • Jika Anda telah mengubah waktu kedaluwarsa tiket Layanan Kerberos dari pengaturan default (default adalah 7 hari), maka Anda harus menunggu setidaknya jumlah hari yang dikonfigurasi di lingkungan Anda.

    • Langkah-langkah ini berasumsi bahwa Performticketsignature tidak pernah diatur ke 0 di lingkungan Anda. Jika Performticketsignature diatur ke 0, Anda harus berpindah ke pengaturan 1 sebelum berpindah ke pengaturan 2 (mode penegakan) dan tunggu setidaknya seminggu untuk memperbolehkan semua layanan yang luar biasa untuk tiket Layanan Kerberos pengguna (S4U2self) mandiri untuk kedaluwarsa. Anda tidak boleh memindahkan langsung dari pengaturan 0 ke pengaturan 2 (mode penegakan).


Langkah 1: instal pembaruan Windows

Instal pembaruan Windows 8 Desember 2020 yang sesuai atau pembaruan Windows yang lebih baru untuk semua perangkat yang menghosting peran pengontrol domain direktori aktif dalam Forest, termasuk pengontrol domain baca-saja.

Produk Windows Server

KB #

Tipe pembaruan

Windows Server, versi 20H2 (instalasi server Core)

4592438

Pembaruan keamanan

Windows Server, versi 2004 (instalasi server Core)

4592438

Pembaruan keamanan

Windows Server, versi 1909 (instalasi server Core)

4592449

Pembaruan keamanan

Windows Server, versi 1903 (instalasi server Core)

4592449

Pembaruan keamanan

Windows Server 2019 (instalasi Core server)

4592440

Pembaruan keamanan

Windows Server 2019

4592440

Pembaruan keamanan

Windows Server 2016 (instalasi Core server)

4593226

Pembaruan keamanan

Windows Server 2016

4593226

Pembaruan keamanan

Windows Server 2012 R2 (instalasi server Core)

4592484

Rollup bulanan

4592495

Keamanan saja

Windows Server 2012 R2

4592484

Rollup bulanan

4592495

Keamanan saja

Windows Server 2012 (instalasi Core server)

4592468

Rollup bulanan

4592497

Keamanan saja

Windows Server 2012

4592468

Rollup bulanan

4592497

Keamanan saja

Paket Layanan Windows Server 2008 R2 1

4592471

Rollup bulanan

4592503

Keamanan saja

Windows Server 2008 Paket Layanan 2

4592498

Rollup bulanan

4592504

Keamanan saja

Langkah 2: Aktifkan Mode penegakan

Setelah semua perangkat yang menjadi host peran pengontrol domain direktori aktif telah diperbarui, tunggu setidaknya seminggu penuh untuk memperbolehkan semua tiket Layanan Kerberos S4U2self yang beredar kedaluwarsa. Lalu, Aktifkan proteksi penuh dengan menggunakan mode penegakan. Untuk melakukan hal ini, Aktifkan kunci registri mode penegakan.

Peringatan Masalah serius mungkin terjadi jika Anda salah memodifikasi registri dengan menggunakan editor registri atau dengan menggunakan metode lain. Masalah ini mungkin mengharuskan Anda menginstal ulang sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diatasi. Mengubah registri dengan risiko Anda sendiri.

Catatan Pembaruan ini memperkenalkan dukungan untuk nilai registri berikut ini untuk mengaktifkan mode penegakan. Nilai registri ini tidak dibuat dengan menginstal pembaruan ini. Anda harus menambahkan nilai registri ini secara manual.

Subkunci registri

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Nilainya

PerformTicketSignature

Tipe data

REG_DWORD

Data

1: memungkinkan mode penyebaran. Perbaikan diaktifkan pada kontroler domain, tapi kontroler domain direktori aktif tidak mengharuskan tiket Layanan Kerberos sesuai dengan perbaikan. Mode ini menambahkan dukungan untuk tanda tangan tiket pada pengontrol domain CVE-2020-17049 yang diperbarui tetapi pengontrol domain tidak memerlukan tiket untuk ditandatangani. Ini memungkinkan gabungan fase penyebaran awal (DCs diperbarui ke pembaruan penyebaran awal bulan Desember) dan pengontrol domain yang diperbarui untuk berdampingan. Dengan semua pengontrol domain yang diperbarui dan di pengaturan 1, semua tiket baru akan ditandatangani. Dalam mode ini, tiket baru akan ditandai sebagai terbarukan.

2: mengaktifkan mode penegakan hal ini memungkinkan perbaikan dalam mode diperlukan di mana semua domain harus diperbarui dan semua pengontrol domain direktori aktif memerlukan tiket Layanan Kerberos dengan tanda tangan. Dengan pengaturan ini, Semua Tiket harus ditandatangani agar dianggap sah. Dalam mode ini, tiket akan lagi ditandai sebagai terbarukan.

0: tidak direkomendasikan. Menonaktifkan tanda tangan tiket Layanan Kerberos, dan domain Anda tidak diproteksi.

Important Pengaturan 0 tidak kompatibel dengan pengaturan penerapan 2. Kegagalan autentikasi terputus-putus mungkin terjadi jika mode penerapan diterapkan pada tahap berikutnya saat domain diatur ke 0. Kami menyarankan pelanggan untuk berpindah ke pengaturan 1 sebelum tahapan penerapan (setidaknya satu minggu sebelum menerapkan penerapan).

Awalan

1 (jika kunci registri tidak diatur)

Apakah mulai ulang diperlukan?

Tidak
Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×