|
IMPORTANTE La data per la modalità di applicazione come indicato in precedenza in questo articolo è stata modificata in 9 marzo 2021. |
Riepilogo
Se si usano utenti protetti e RBCD (Resource-Based Constrained Delegation), nei controller di dominio Active Directory potrebbe esistere una vulnerabilità di sicurezza. Per altre informazioni sulla vulnerabilità della sicurezza, vedere CVE-2020-16996.
|
Azione Per proteggere l'ambiente e prevenire le interruzioni, è necessario eseguire le operazioni seguenti:
|
Intervallo di aggiornamenti
Questi Windows verranno rilasciati in due fasi:
-
La fase di distribuzione iniziale Windows aggiornamenti rilasciati l'8 dicembre 2020 o dopo.
-
La fase di applicazione Windows aggiornamenti rilasciati il 9 marzo 2021 o dopo.
8 dicembre 2020: Fase di distribuzione iniziale
La fase di distribuzione iniziale inizia con l'aggiornamento Windows rilasciato l'8 dicembre 2020 e continua con un aggiornamento Windows successivo per la fase di applicazione. Questi aggiornamenti e Windows apportare modifiche a Kerberos.
Questa versione:
-
Indirizzi CVE-2020-16996 (disabilitato per impostazione predefinita).
-
Aggiunge il supporto per il valore del Registro di sistema NonForwardableDelegation per abilitare la protezione nei server controller di dominio Active Directory. Per impostazione predefinita, il valore non esiste.
L'attenuazione consiste nell'installazione degli aggiornamenti Windows in tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory e i controller di dominio di sola lettura e quindi l'abilitazione della modalità di applicazione.
9 marzo 2021: Fase di applicazione
Il rilascio del 9 marzo 2021 passa alla fase di applicazione. La fase di applicazione applica le modifiche all'indirizzo CVE-2020-16996. I controller di dominio Active Directory saranno ora in modalità di applicazione a meno che la chiave del Registro di sistema modalità di imposizione non sia impostata su 1 (disabilitata). Se è impostata la chiave del Registro di sistema Modalità di applicazione, l'impostazione verrà rispettata. Per accedere alla modalità di applicazione è necessario che in tutti i controller di dominio di Active Directory sia installato l'aggiornamento dell'8 dicembre 2020 o un aggiornamento successivo.
Indicazioni per l'installazione
Prima di installare questo aggiornamento
Prima di applicare questo aggiornamento, è necessario che siano installati gli aggiornamenti necessari seguenti. Se si usa Windows, questi aggiornamenti necessari verranno offerti automaticamente in base alle esigenze.
-
È necessario avere installato l'aggiornamento SHA-2 (KB4474419) datato 23 settembre 2019 o versione successiva, quindi riavviare il dispositivo prima di applicare questo aggiornamento. Per altre informazioni sugli aggiornamenti SHA-2, vedere Requisiti di supporto per la firma del codice SHA-2 2019per Windows e WSUS.
-
Per Windows Server 2008 R2 SP1, è necessario aver installato l'aggiornamento dello stack di manutenzione (KB4490628) datato 12 marzo 2019. Dopo aver installato l'aggiornamento KB4490628, è consigliabile installare l'aggiornamento SSU più recente. Per altre informazioni sull'aggiornamento SSU più recente, vedere ADV990001 | Aggiornamenti più recenti dello stack di manutenzione.
-
Per Windows Server 2008 SP2, è necessario aver installato l'aggiornamento dello stack di manutenzione (KB4493730) datato 9 aprile 2019. Dopo aver installato l'aggiornamento KB4493730, è consigliabile installare l'aggiornamento SSU più recente. Per altre informazioni sugli aggiornamenti SSU più recenti, vedere ADV990001 | Aggiornamenti più recenti dello stack di manutenzione.
-
I clienti devono acquistare l'aggiornamento della sicurezza estesa (ESU) per le versioni locali di Windows Server 2008 SP2 o Windows Server 2008 R2 SP1 dopo che il supporto esteso è terminato il 14 gennaio 2020. I clienti che hanno acquistato l'ESU devono seguire le procedure descritte in KB4522133 per continuare a ricevere gli aggiornamenti della sicurezza. Per altre informazioni su ESU e sulle edizioni supportate, vedere KB4497181.
ImportanteDopo aver installato gli aggiornamenti necessari, è necessario riavviare il dispositivo.
Installare l'aggiornamento
Per risolvere la vulnerabilità della sicurezza, installare gli aggiornamenti Windows e abilitare la modalità di applicazione seguendo questa procedura.
|
Warning Possono verificarsi problemi di autenticazione intermittenti se Windows aggiornamenti del Registro di sistema e il valore del Registro di sistema vengono applicati in modo incoerente in uno o entrambi gli scenari seguenti:
Importante Sia Windows aggiornamenti del Registro di sistema che il valore del Registro di sistema devono essere applicati in modo coerente in TUTTI i controller di dominio Active Directory dell'ambiente. |
Passaggio 1: Installare l'Windows aggiornamento
Installare l'aggiornamento di Windows dell'8 dicembre 2020 o un aggiornamento di Windows successivo in tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory nella foresta, inclusi i controller di dominio di sola lettura.
|
Windows Server |
KB # |
Tipo di aggiornamento |
|
Windows Server, versione 20H2 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server, versione 2004 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server, versione 1909 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server, versione 1903 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server 2019 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server 2019 |
Aggiornamento della sicurezza |
|
|
Windows Server 2016 (installazione di Server Core) |
Aggiornamento della sicurezza |
|
|
Windows Server 2016 |
Aggiornamento della sicurezza |
|
|
Windows Server 2012 R2 (installazione server core) |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2012 R2 |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2012 (installazione di Server Core) |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2012 |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2008 R2 Service Pack 1 |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2008 Service Pack 2 |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
Passaggio 2: Abilitare la modalità di applicazione
Dopo l'aggiornamento di tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory, attendere almeno un giorno intero per consentire la scadenza di tutti i ticket di servizio Kerberos Service to Self (S4U2self) in sospeso. Quindi, abilitare la protezione completa distribuendo la modalità di applicazione. A questo scopo, abilitare la chiave del Registro di sistema Modalità di applicazione.
Warning Se si modifica il Registro di sistema in modo non corretto usando l'editor del Registro di sistema o un altro metodo, potrebbero verificarsi problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.
Note Questo valore del Registro di sistema non viene creato installando questo aggiornamento. È necessario aggiungere manualmente questo valore del Registro di sistema.
|
Sottochiave del Registro di sistema |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Valore |
NonForwardableDelegation |
|
Tipo di dati |
REG_DWORD |
|
Data |
1: disabilita la modalità di applicazione. 0: abilita la modalità di applicazione. Questo è lo stato protetto. |
|
Impostazione predefinita |
1 |
|
È necessario riavviare il computer? |
No |
Note sul valore delRegistro di sistema"NonForwardableDelegation":
-
Se il valore del Registro di sistema è impostato, avrà la precedenza sull'impostazione modalità di applicazione inclusa negli aggiornamenti Windows 9 marzo 2021.
-
Se il valore del Registro di sistema è impostato su 1 (Disabilita), l'inoltro sarà consentito nei ticket di servizio Kerberos NON contrassegnati come inoltrabili.
-
Se il valore del Registro di sistema è impostato su 0 (Abilita), l'inoltro NON sarà consentito nei ticket di servizio Kerberos NON contrassegnati come inoltrabili.
-
-
Se il dominio include Windows Server 2008 R2 o versioni precedenti di Active Directory, non è necessario impostare la modalità di imposizione perché questi controller di dominio non supportano RBCD.
-
Se non si aggiornano in modo coerente tutti i controller di dominio di Active Directory quando si abilita la modalità di imposizione, si verificano errori intermittenti di delega del servizio.
-
Prima di impostare la modalità di applicazione:
-
Tutti i controller di dominio di Active Directory devono essere aggiornati con l'aggiornamento dell'8 dicembre 2020 Windows o con un aggiornamento Windows successivo e
-
Tutti i ticket di servizio Kerberos S4USelf in sospeso devono essere scaduti attendendo un giorno dopo il completamento della distribuzione Windows aggiornamento a tutti i controller di dominio di Active Directory.
-
Considerazioni aggiuntive
Quando questa protezione, se abilitata, unifica la logica Resource-Based delega vincolata (RBCD) con la delega vincolata originale. Questo può causare problemi nei due scenari seguenti:
-
Un singolo servizio usa contemporaneamente la delega vincolata Kerberos originale (KCD) senza transizione di protocollo a una destinazione mentre usa RBCD con la transizione del protocollo a un'altra. Dopo questa modifica, la transizione di negazione del protocollo verrà applicata a entrambi gli stili di delega.
-
RBCD viene usato in un dominio che usa controller di dominio non aggiornati con CVE-2020-16996 o che eseguono versioni precedenti di Windows Server (precedenti a Window Server 2012) che non hanno un aggiornamento disponibile per CVE-2020-16996. I Centri distribuzione chiavi (KDC) non aggiornati non contrassegneranno i ticket di servizio Kerberos S4USelf come non consentiti per la delega e la transizione del protocollo.
