IMPORTANTE La data per la modalità di applicazione dei criteri, come accennato in precedenza in questo articolo, è stata modificata al 9 marzo 2021.

Riepilogo

Se si usano utenti protettie delega vincolata basata su risorse (RBCD), potrebbe esistere una vulnerabilità di sicurezza nei controller di dominio Active Directory. Per altre informazioni sulla vulnerabilità della sicurezza, vedere CVE-2020-16996.

Intervenire

Per proteggere l'ambiente ed evitare interruzioni, è necessario eseguire le operazioni seguenti:

  1. Aggiornare tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory installando l'aggiornamento di Windows dell'8 dicembre 2020 o un aggiornamento successivo di Windows. Tenere presente che l'installazione dell'aggiornamento di Windows non attenua completamente la vulnerabilità di sicurezza. È necessario eseguire il passaggio 2.

  2. Abilitare la modalità di applicazione in tutti i controller di dominio Active Directory. A partire dall'aggiornamento del 9 marzo 2021, la modalità di applicazione può essere abilitata in tutti i controller di dominio di Windows.

Intervallo di aggiornamenti

Questi aggiornamenti di Windows verranno rilasciati in due fasi:

  • Fase di distribuzione iniziale per gli aggiornamenti di Windows rilasciati l'8 dicembre 2020 o dopo.

  • Fase di applicazione degli aggiornamenti di Windows rilasciati il 9 marzo 2021 o dopo.

8 dicembre 2020: fase di distribuzione iniziale

La fase di distribuzione iniziale inizia con l'aggiornamento di Windows rilasciato l'8 dicembre 2020 e continua con un aggiornamento di Windows successivo per la fase di applicazione. Questi e gli aggiornamenti successivi di Windows apportano modifiche a Kerberos.

Questa versione:

  • Indirizzi CVE-2020-16996 (disabilitato per impostazione predefinita).

  • Aggiunge il supporto per il valore del Registro di sistema NonForwardableDelegation per abilitare la protezione sui server di controller di dominio Active Directory. Per impostazione predefinita, il valore non esiste.

Mitigation è costituito dall'installazione degli aggiornamenti di Windows in tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory e i controller di dominio di sola lettura (INCS), quindi abilitando la modalità di applicazione.

9 marzo 2021: Fase di applicazione

Il rilascio del 9 marzo 2021 entra nella fase di applicazione. La fase di applicazione applica le modifiche per risolvere il CVE-2020-16996. I controller di dominio Active Directory saranno ora in modalità di applicazione, a meno che la chiave del Registro di sistema della modalità di applicazione non sia impostata su 1 (disabilitata). Se è impostata la chiave del Registro di sistema Modalità di applicazione, verrà rispettata l'impostazione. L'uso della modalità di applicazione richiede che per tutti i controller di dominio Active Directory sia installato l'aggiornamento dell'8 dicembre 2020 o di un aggiornamento successivo.

Istruzioni per l'installazione

Prima di installare questo aggiornamento

Prima di applicare questo aggiornamento, è necessario che siano installati gli aggiornamenti necessari seguenti. Se si usa Windows Update, questi aggiornamenti necessari verranno offerti automaticamente in base alle esigenze.

Importante È necessario riavviare il dispositivo dopo aver installato gli aggiornamenti necessari.

Installare l'aggiornamento

Per risolvere la vulnerabilità di sicurezza, installare gli aggiornamenti di Windows e abilitare la modalità di applicazione seguendo questa procedura.

Warning Possono verificarsi problemi intermittenti di autenticazione se questi aggiornamenti di Windows e il valore del Registro di sistema vengono applicati in modo incoerente in uno o in entrambi gli scenari seguenti:

  • L'aggiornamento di Windows dell'8 dicembre 2020 viene installato in modo incoerente nei controller di dominio Active Directory e il valore NonForwardableDelegation è impostato su 0 in modo incoerente nei controller di dominio.

  • L'aggiornamento di Windows del 9 marzo 2021 viene installato in modo incoerente nei controller di dominio Active Directory abilitati in modo implicito installando prima l'aggiornamento di Windows dell'8 dicembre 2020 in tutti i controller di dominio Active Directory di Windows Server 2008 R2 o versioni precedenti che si trovano nei domini chiamante, intermedio o di destinazione.

Importante Gli aggiornamenti di Windows e il valore del Registro di sistema devono essere applicati in modo coerente in TUTTI i controller di dominio Active Directory nell'ambiente.


Passaggio 1: Installare l'aggiornamento di Windows

Installare l'aggiornamento di Windows dell'8 dicembre 2020 o un aggiornamento successivo di Windows in tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory nella foresta, inclusi i controller di dominio di sola lettura.

Prodotto Windows Server

KB #

Tipo di aggiornamento

Windows Server, versione 20H2 (installazione server-core)

4592438

Aggiornamento della sicurezza

Windows Server versione 2004 (installazione server core)

4592438

Aggiornamento della sicurezza

Windows Server, versione 1909 (installazione server core)

4592449https://support.microsoft.com/help/4592449

Aggiornamento della sicurezza

Windows Server, versione 1903 (installazione server core)

4592449https://support.microsoft.com/help/4592449

Aggiornamento della sicurezza

Windows Server 2019 (installazione server core)

4592440

Aggiornamento della sicurezza

Windows Server 2019

4592440

Aggiornamento della sicurezza

Windows Server 2016 (installazione server core)

4593226

Aggiornamento della sicurezza

Windows Server 2016

4593226

Aggiornamento della sicurezza

Windows Server 2012 R2 (installazione Server Core)

4592484

Aggiornamento cumulativo mensile

4592495

Solo sicurezza

Windows Server 2012 R2

4592484

Aggiornamento cumulativo mensile

4592495

Solo sicurezza

Windows Server 2012 (installazione server core)

4592468

Aggiornamento cumulativo mensile

4592497

Solo sicurezza

Windows Server 2012

4592468

Aggiornamento cumulativo mensile

4592497

Solo sicurezza

Windows Server 2008 R2 Service Pack 1

4592471

Aggiornamento cumulativo mensile

4592503

Solo sicurezza

Windows Server 2008 Service Pack 2

4592498

Aggiornamento cumulativo mensile

4592504

Solo sicurezza

Passaggio 2: Abilitare la modalità di applicazione

Dopo l'aggiornamento di tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory, attendere almeno un giorno completo per consentire la scadenza di tutti i ticket del servizio Kerberos Da utente a self-service (S4U2 self). Quindi, abilitare la protezione completa distribuendo la modalità di applicazione. A questo scopo, abilitare la chiave del Registro di sistema Modalità di applicazione.

Warning La modifica non corretta del Registro di sistema mediante l'editor del Registro di sistema o un altro metodo potrebbe causare problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di questi problemi. Modificare il Registro di sistema a proprio rischio.

Nota Questo valore del Registro di sistema non viene creato installando questo aggiornamento. È necessario aggiungere manualmente questo valore del Registro di sistema.

Sottochiave del Registro di sistema

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Valore

NonForwardableDelegation

Tipo di dati

REG_DWORD

Data

1:disabilita la modalità di applicazione.  

0:abilita la modalità di applicazione. Questo è lo stato protetto.

Impostazione predefinita

1

È necessario un riavvio?

No


Note sul valore delRegistro di sistema"NonForwardableDelegation":

  • Se il valore del Registro di sistema è impostato, avrà la precedenza rispetto all'impostazione modalità di applicazione inclusa negli aggiornamenti di Windows del 9 marzo 2021.

    • Se il valore del Registro di sistema è impostato su 1 (Disabilita), l'inoltro sarà consentito nei ticket di servizio Kerberos contrassegnati come forwardable.

    • Se il valore del Registro di sistema è impostato su 0 (Abilita), l'inoltro NON è consentito nei ticket di servizio Kerberos contrassegnati come inoltrabili e la modalità di applicazione è abilitata.

  • Se il dominio include Windows Server 2008 R2 o controller di dominio Active Directory precedenti, non è necessario impostare la modalità di applicazione perché questi controller di dominio non supportano RBCD.

  • Se non si aggiornano in modo coerente tutti i controller di dominio Active Directory quando si abilita la modalità di applicazione, si verificano errori intermittenti di delega del servizio.

  • Prima di impostare la modalità di applicazione:

    • Tutti i controller di dominio Active Directory devono essere aggiornati con l'aggiornamento di Windows dell'8 dicembre 2020 o versione successiva e

    • Tutti i ticket di servizio Kerberos S4USelf in sospeso devono essere scaduti attendendo un giorno dopo il completamento della distribuzione dell'aggiornamento di Windows in tutti i controller di dominio Active Directory.

Considerazioni aggiuntive

Se abilitata, questa protezione unifica la logica per Resource-Based delega vincolata (RBCD) con la delega vincolata originale. Questo può causare problemi nei due scenari seguenti:

  • Un singolo servizio usa contemporaneamente la delega vincolata Kerberos originale senza transizione del protocollo a una destinazione mentre usa RBCD con la transizione del protocollo a un'altra. Dopo questa modifica, la transizione denial of protocol verrà applicata a entrambi gli stili di delega.

  • RBCD viene usato in un dominio che usa controller di dominio non aggiornati con CVE-2020-16996 o che eseguono versioni precedenti di Windows Server (precedenti a Windows Server 2012) che non hanno un aggiornamento disponibile per CVE-2020-16996. I centri di distribuzione chiave che non vengono aggiornati non contrassegneranno i ticket di servizio Kerberos S4USelf come non consentiti per la delega e la transizione del protocollo.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Quanto ti soddisfa la qualità della traduzione?

Cosa ha influito sulla tua esperienza?

Altri commenti e suggerimenti? (Facoltativo)

Grazie per il feedback!

×