Importante: Le date di rilascio indicate in precedenza in questo articolo sono cambiate. Prendere nota delle nuove date di rilascio nelle sezioni "Intervenire" e "Intervallo di questi aggiornamenti di Windows".
Riepilogo
Esiste una vulnerabilità del bypass della funzionalità di sicurezza nel modo in cui il Centro distribuzione chiavi (KDC) determina se è possibile usare un ticket di servizio Kerberos per la delega tramite la delega vincolata Kerberos. Per sfruttare la vulnerabilità, un servizio compromesso configurato per l'uso di KCD potrebbe manomettere un ticket di servizio Kerberos non valido per la delega per forzare il KDC ad accettarlo. Questi aggiornamenti di Windows indirizzano questa vulnerabilità modificando il modo in cui il KDC convalida i ticket di servizio Kerberos usati con KCD.
Per altre informazioni su questa vulnerabilità, vedere CVE-2020-17049.
Intervenire Per proteggere l'ambiente ed evitare interruzioni, è necessario seguire tutti questi passaggi:
|
Intervallo di questi aggiornamenti di Windows
Questi aggiornamenti di Windows verranno rilasciati in tre fasi:
-
Fase di distribuzione iniziale degli aggiornamenti di Windows rilasciati l'8 dicembre 2020 o dopo.
-
Una seconda fase di distribuzione che rimuove l'impostazione PerformTicketSignature0 e richiede l'impostazione 1 o 2,il 13 aprile 2021 o dopo.
-
Fase di applicazione degli aggiornamenti di Windows rilasciati il 13 luglio 2021 o dopo.
8 dicembre 2020: fase di distribuzione iniziale
La fase di distribuzione iniziale inizia con l'aggiornamento di Windows rilasciato l'8 dicembre 2020 e continua con un aggiornamento di Windows successivo per la fase di applicazione. Questi e gli aggiornamenti successivi di Windows apportano modifiche a Kerberos. Questo aggiornamento dell'8 dicembre 2020 include le correzioni per tutti i problemi noti introdotti in origine dal rilascio del 10 novembre 2020 di CVE-2020-17049. Questo aggiornamento aggiunge anche il supporto per Windows Server 2008 SP2 e Windows Server 2008 R2.
Questa versione:
-
Indirizzi CVE-2020-17049 (in modalità di distribuzione per impostazione predefinita).
-
Aggiunge il supporto per il valore del Registro di sistema PerformTicketSignature per abilitare la protezione sui server di controller di dominio Active Directory. Per impostazione predefinita, questo valore non esiste.
Mitigation è costituito dall'installazione degli aggiornamenti di Windows in tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory e i controller di dominio di sola lettura (INCS), quindi abilitando la modalità di applicazione.
13 aprile 2021: Seconda fase di distribuzione
La seconda fase di distribuzione inizia con l'aggiornamento di Windows rilasciato il 13 aprile 2021. Questa fase rimuove l'impostazione PerformTicketSignature0.L'impostazione di PerformTicketSignature su 0 dopo l'installazione dell'aggiornamento avrà lo stesso effetto dell'impostazione di PerformTicketSignature su 1. I PC saranno in modalità di distribuzione.
Note
-
Questa fase non è necessaria se PerformTicketSignature non è mai stata impostata su 0 nell'ambiente. Questa fase consente di assicurarsi che i clienti che impostano PerformTicketSignature su 0 siano spostati all'impostazione 1 prima della fase di applicazione.
-
Con la distribuzione degli aggiornamenti del 13 aprile 2021, impostando PerformTicketSignature su 1 i ticket di servizio saranno renewable. Si tratta di una modifica del comportamento rispetto agli aggiornamenti di Windows precedenti ad aprile 2021 quando si imposta la funzionalità PerformTicketSignature su 1, che causava la non acquisto di ticket di servizio da fonti energie.
-
Questo aggiornamento presuppone che tutti i controller di dominio siano aggiornati con gli aggiornamenti dell'8 dicembre 2020 o successivi.
-
Dopo l'installazione di questo aggiornamento e l'impostazione manuale o a livello di programmazione della funzionalità PerformTicketSignature su 1 o versione successiva, i controller di dominio di Windows Server non supportati non funzioneranno più con i controller di dominio supportati. Sono inclusi Windows Server 2008 e Windows Server 2008 R2 senza aggiornamenti della sicurezza estesa (ESU) e Windows Server 2003.
13 luglio 2021: Fase di applicazione
Il rilascio del 13 luglio 2021 entra nella fase di applicazione. La fase di applicazione applica le modifiche per risolvere CVE-2020-17049. I controller di dominio Active Directory ora supportano la modalità di applicazione. L'uso della modalità di applicazione richiede che per tutti i controller di dominio Active Directory sia installato l'aggiornamento dell'8 dicembre 2020 o un aggiornamento di Windows successivo. Al momento, le impostazioni della chiave del Registro di sistema PerformTicketSignature verranno ignorate e non è possibile ignorare la modalità di applicazione.
Istruzioni per l'installazione
Prima di installare questo aggiornamento
Prima di applicare questo aggiornamento, è necessario che siano installati gli aggiornamenti necessari seguenti. Se usi Windows Update, questi aggiornamenti necessari verranno offerti automaticamente in base alle esigenze.
-
È necessario avere installato l'aggiornamento SHA-2(KB4474419)datato 23 settembre 2019 o successivo, quindi riavviare il dispositivo prima di applicare l'aggiornamento. Per altre informazioni sugli aggiornamenti sha-2, vedere il requisito del supporto per la firma del codice SHA-2 2019 per Windows e Windows Server Update Services.
-
Per Windows Server 2008 R2 SP1, è necessario avere installato l'aggiornamento dello stack di manutenzione (SSU)(KB4490628)datato 12 marzo 2019. Dopo l'installazione dell'aggiornamento KB4490628, è consigliabile installare l'aggiornamento SSU più recente. Per altre informazioni sull'ultimo aggiornamento SSU, vedere adV990001 | Ultimi aggiornamenti dello stack di manutenzione.
-
Per Windows Server 2008 SP2, è necessario avere installato l'aggiornamento dello stack di manutenzione (SSU)(KB4493730)datato 9 aprile 2019. Dopo l'installazione dell'aggiornamento KB4493730, è consigliabile installare l'aggiornamento SSU più recente. Per altre informazioni sugli aggiornamenti SSU più recenti, vedere adV990001 | Ultimi aggiornamenti dello stack di manutenzione.
-
I clienti devono acquistare l'aggiornamento della sicurezza estesa (ESU) per le versioni locali di Windows Server 2008 SP2 o Windows Server 2008 R2 SP1 dopo la fine del supporto "Extended" il 14 gennaio 2020. I clienti che hanno acquistato l'ESU devono seguire le procedure descritte nell'articolo KB4522133 per continuare a ricevere gli aggiornamenti della sicurezza. Per altre informazioni su ESU e sulle edizioni supportate, vedere KB4497181.
Importante È necessario riavviare il dispositivo dopo aver installato gli aggiornamenti necessari.
Installare tutti gli aggiornamenti
Per risolvere la vulnerabilità di sicurezza, installare tutti gli aggiornamenti di Windows e abilitare la modalità di applicazione seguendo questa procedura:
-
Distribuire almeno uno degli aggiornamenti compresi tra l'8 dicembre 2020 e il 9 marzo 2021 in tutti i controller di dominio Active Directory nella foresta.
-
Distribuire l'aggiornamento del 12 aprile 2021 almeno una o più settimane dopo il passaggio 1.
-
Dopo l'aggiornamento di tutti i controller di dominio Active Directory, attendere almeno una settimana per consentire la scadenza di tutti i ticket del servizio Kerberos Self (S4U2 self) in sospeso per l'utente e quindi la protezione completa può essere abilitata distribuendo la modalità di applicazione del controller di dominio Active Directory.
Note-
Se sono state modificate le date di scadenza del ticket di servizio Kerberos dalle impostazioni predefinite (l'impostazione predefinita è 7 giorni), è necessario attendere almeno il numero di giorni configurato nell'ambiente.
-
Questa procedura presuppone che PerformTicketSignature non sia mai stato impostato su 0 nell'ambiente. Se PerformTicketSignature è impostato su 0,è necessario passare all'impostazione 1 prima di passare all'impostazione 2 (modalità di applicazione) e attendere almeno una settimana per consentire la scadenza di tutti i ticket del servizio Kerberos User to Self (S4U2 self). Non è consigliabile passare direttamente dall'impostazione 0 a 2 (modalità di applicazione).
-
Passaggio 1: Installare gli aggiornamenti di Windows
Installare l'aggiornamento di Windows dell'8 dicembre 2020 appropriato o un aggiornamento successivo di Windows in tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory nella foresta, inclusi i controller di dominio di sola lettura.
Prodotto Windows Server |
KB # |
Tipo di aggiornamento |
Windows Server, versione 20H2 (installazione server-core) |
Aggiornamento della sicurezza |
|
Windows Server versione 2004 (installazione server core) |
Aggiornamento della sicurezza |
|
Windows Server, versione 1909 (installazione server core) |
Aggiornamento della sicurezza |
|
Windows Server versione 1903 (installazione server core) |
Aggiornamento della sicurezza |
|
Windows Server 2019 (installazione server core) |
Aggiornamento della sicurezza |
|
Windows Server 2019 |
Aggiornamento della sicurezza |
|
Windows Server 2016 (installazione server core) |
Aggiornamento della sicurezza |
|
Windows Server 2016 |
Aggiornamento della sicurezza |
|
Windows Server 2012 R2 (installazione Server Core) |
Aggiornamento cumulativo mensile |
|
Solo sicurezza |
||
Windows Server 2012 R2 |
Aggiornamento cumulativo mensile |
|
Solo sicurezza |
||
Windows Server 2012 (installazione server core) |
Aggiornamento cumulativo mensile |
|
Solo sicurezza |
||
Windows Server 2012 |
Aggiornamento cumulativo mensile |
|
Solo sicurezza |
||
Windows Server 2008 R2 Service Pack 1 |
Aggiornamento cumulativo mensile |
|
Solo sicurezza |
||
Windows Server 2008 Service Pack 2 |
Aggiornamento cumulativo mensile |
|
Solo sicurezza |
Passaggio 2: Abilitare la modalità di applicazione
Dopo l'aggiornamento di tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory, attendere almeno una settimana per consentire la scadenza di tutti i ticket del servizio Kerberos S4U2self in sospeso. Quindi, abilitare la protezione completa distribuendo la modalità di applicazione. A questo scopo, abilitare la chiave del Registro di sistema Modalità di applicazione.
Warning La modifica non corretta del Registro di sistema mediante l'editor del Registro di sistema o un altro metodo potrebbe causare problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di questi problemi. Modificare il Registro di sistema a proprio rischio.
Nota Questo aggiornamento introduce il supporto per il valore del Registro di sistema seguente per l'abilitazione della modalità di applicazione. Questo valore del Registro di sistema non viene creato installando questo aggiornamento. È necessario aggiungere manualmente questo valore del Registro di sistema.
Sottochiave del Registro di sistema |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Valore |
PerformTicketSignature |
Tipo di dati |
REG_DWORD |
Data |
1:abilita la modalità di distribuzione. La correzione è abilitata nel controller di dominio, ma il controller di dominio Active Directory non richiede che i ticket di servizio Kerberos siano conformi alla correzione. Questa modalità aggiunge il supporto per le firme dei ticket nei controller di dominio aggiornati CVE-2020-17049, ma non richiede la firma dei ticket. In questo modo è possibile creare una combinazione di fase di distribuzione iniziale (controller di dominio aggiornati all'aggiornamento iniziale della distribuzione di dicembre) e controller di dominio aggiornati per la coesistere. Dopo l'aggiornamento di tutti i controller di dominio e l'impostazione 1,verranno firmati tutti i nuovi ticket. In questa modalità, i nuovi ticket verranno contrassegnati come energie. 2:abilita la modalità di applicazione in modo da abilitare la correzione in modalità richiesta in cui è necessario aggiornare tutti i domini e tutti i controller di dominio Active Directory richiedono ticket di servizio Kerberos con firme. Con questa impostazione, tutti i ticket devono essere firmati per poter essere considerati validi. In questa modalità i ticket verranno di nuovo contrassegnati come fonti di lavoro. 0:non consigliato. Disabilita le firme dei ticket di servizio Kerberos e i domini non sono protetti. Importante: L'impostazione 0 non è compatibile con l'impostazione 2. Possono verificarsi errori intermittenti di autenticazione se la modalità di applicazione viene applicata in un secondo momento mentre il dominio è impostato su 0. Si consiglia ai clienti di passare all'impostazione 1 prima della fase di applicazione della normativa (almeno una settimana prima dell'applicazione dell'applicazione). |
Impostazione predefinita |
1 (quando la chiave del Registro di sistema non è impostata) |
È necessario un riavvio? |
No |