SVARBU Vykdymo režimo data, kaip anksčiau nurodyta šiame straipsnyje, pakeista į 2021 m. kovo 9 d. |
Suvestinė
Jei naudojate apsaugotus vartotojus ir išteklių pagrindu pagrįstą apribotą pavedimą (RBCD), "Active Directory" domeno valdikliuose gali būti saugos pažeidžiamumas. Norėdami sužinoti daugiau apie saugos pažeidžiamumą, žr. CVE-2020-16996.
Imtis veiksmų Norėdami apsaugoti savo aplinką ir išvengti atosos, turite atlikti šiuos veiksmus:
|
Naujinimų laikas
Šie Windows naujinimai bus išleisti dviem etapais:
-
2020 m. gruodžio 8 Windows arba vėliau išleistų naujinimų pradinio diegimo etapas.
-
2021 m Windows kovo 9 d. arba vėliau išleistų naujinimų vykdymo etapas.
2020 m. gruodžio 8 d.: pradinis diegimo etapas
Pradinis diegimo etapas prasideda nuo 2020 Windows. gruodžio 8 d. išleisto "Windows naujinimo. Šie ir Windows naujinimai keičia "Kerberos".
Šis leidimas:
-
Adresai CVE-2020-16996 (išjungta pagal numatytuosius nustatymus).
-
Prideda NonForwardableDelegation registro reikšmės palaikymą, kad įgalintumėte apsaugą "Active Directory" domeno valdiklio serveriuose. Pagal numatytuosius nustatymus reikšmės nėra.
Mažinimas apima visų įrenginių, kuriuose Windows yra "Active Directory" domeno valdiklio vaidmuo ir tik skaitomi domeno valdikliai (RODCs), naujinimų diegimą ir vykdymo režimo įgalinimą.
2021 m. kovo 9 d.: vykdymo etapas
2021 m. kovo 9 d. leidimo perėjimai į vykdymo etapą. Vykdymo etapas užtikrina cve-2020-16996 adreso pakeitimus. "Active Directory" domeno valdikliai dabar veiks vykdymo režimu, nebent vykdymo režimo registro raktas nustatytas kaip 1 (išjungta). Jei nustatytas vykdymo režimo registro raktas, parametras bus gerbiamas. Norint pasiekti vykdymo režimą, reikia, kad visi "Active Directory" domeno valdikliai turėtų 2020 m. gruodžio 8 d. naujinimą arba įdiegtą vėlesnį naujinimą.
Diegimo rekomendacijos
Prieš diegdami šį naujinimą
Prieš pritaikant šį naujinimą, turi būti įdiegti šie būtini naujinimai. Jei naudosite Windows naujinimą, šie būtini naujinimai bus siūlomi automatiškai, jei reikia.
-
Turite įdiegti SHA-2 naujinimą (KB4474419), kuris yra 2019 m. rugsėjo 23 d. arba naujesnį SHA-2 naujinimą, tada iš naujo paleiskite įrenginį prieš pritaikant šį naujinimą. Daugiau informacijos apie SHA-2 naujinimus žr. 2019 SHA-2 kodo pasirašymo palaikymo reikalavimas "Windows" ir WSUS.
-
"Windows Server 2008 R2 SP1" turite įdiegti priežiūros rietuvės naujinimą (SSU) (KB4490628), kuris yra 2019 m. kovo 12 d. Įdiegus naujinimą KB4490628, rekomenduojame įdiegti naujausią SSU naujinimą. Daugiau informacijos apie naujausią SSU naujinimą žr. ADV990001 | Naujausi priežiūros rietuvės naujinimai.
-
Jei naudojate "Windows Server 2008" SP2, turite būti įdiegę priežiūros rietuvės naujinimą (SSU) (KB4493730), kuris yra 2019 m. balandžio 9 d. Įdiegus naujinimą KB4493730, rekomenduojame įdiegti naujausią SSU naujinimą. Daugiau informacijos apie naujausius SSU naujinimus žr. ADV990001 | Naujausi priežiūros rietuvės naujinimai.
-
Klientai turi įsigyti "Windows Server 2008 SP2" arba "Windows Server 2008 R2 SP1" vietinį saugos naujinimą (ESU), kai pratęstas palaikymas baigėsi 2020 m. sausio 14 d. Klientai, įsigę EDV, privalo laikytis KB4522133 procedūrų, kad ir toliau galėtų gauti saugos naujinimus. Daugiau informacijos apie ESU ir kurie leidimai palaikomi, žr. KB4497181.
Svarbu Įdiegę šiuos reikiamus naujinimus, turite iš naujo paleisti įrenginį.
Naujinimo diegimas
Norėdami išspręsti saugos pažeidžiamumą, įdiekite Windows naujinimus ir įgalinkite vykdymo režimą, atlikite šiuos veiksmus.
Įspėjimas Kartais gali kilti autentifikavimo problemų Windows šie naujinimai ir registro reikšmė yra taikomi nenuosekliai viename arba abiejuose iš šių scenarijų:
Svarbu. Tiek Windows, tiek registro reikšmė turi būti nuosekliai taikoma visiems "Active Directory" domeno valdikliams jūsų aplinkoje. |
1 veiksmas: įdiekite Windows naujinimą
Įdiekite 2020 m. gruodžio 8 d. Windows naujinimą arba vėlesnį "Windows" naujinimą visuose įrenginiuose, kuriuose yra "Active Directory" domeno valdiklio vaidmuo miške, įskaitant tik skaitomus domeno valdiklius.
Windows Serverio produktas |
KB # |
Naujinimo tipas |
Windows serveris, 20H2 versija (serverio branduolio diegimas) |
Saugos naujinimas |
|
Windows Server, 2004 versija (serverio branduolio diegimas) |
Saugos naujinimas |
|
Windows Server, 1909 versija (serverio branduolio diegimas) |
Saugos naujinimas |
|
Windows serveris, 1903 versija (serverio branduolio diegimas) |
Saugos naujinimas |
|
Windows Server 2019" (serverio branduolio diegimas) |
Saugos naujinimas |
|
Windows Server 2019 |
Saugos naujinimas |
|
Windows Server 2016" (serverio branduolio diegimas) |
Saugos naujinimas |
|
„Windows Server 2016“ |
Saugos naujinimas |
|
Windows Server 2012 R2 (serverio branduolio diegimas) |
Mėnesio naujinimų paketas |
|
Tik sauga |
||
„Windows Server 2012 R2“ |
Mėnesio naujinimų paketas |
|
Tik sauga |
||
Windows Server 2012" (serverio branduolio diegimas) |
Mėnesio naujinimų paketas |
|
Tik sauga |
||
„Windows Server 2012“ |
Mėnesio naujinimų paketas |
|
Tik sauga |
||
Windows Server 2008 R2" 1 pakeitimų paketas |
Mėnesio naujinimų paketas |
|
Tik sauga |
||
„Windows Server 2008“ 2 pakeitimų paketui |
Mėnesio naujinimų paketas |
|
Tik sauga |
2 veiksmas: įgalinti vykdymo režimą
Atnaujinus visus įrenginius, kuriuose yra "Active Directory" domeno valdiklio vaidmuo, palaukite bent visą dieną, kad būtų galima baigti galioti visiems neapmokėtiems "User to Self" (S4U2self) "Kerberos" tarnybos bilietams. Tada įjunkite visišką apsaugą diegdami vykdymo režimą. Norėdami tai padaryti, įgalinkite registro raktą Vykdymo režimas.
Įspėjimas Gali kilti rimtų problemų, jei netinkamai modifikuojate registrą naudodami registro rengyklę arba kitą būdą. Šioms problemoms gali reikėti iš naujo įdiegti operacinę sistemą. "Microsoft" negali garantuoti, kad šias problemas galima išspręsti. Modifikuokite registrą savo pačių rizika.
Pastaba Ši registro reikšmė nesukurta įdiegus šį naujinimą. Šią registro reikšmę turite įtraukti rankiniu būdu.
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Reikšmė |
NonForwardableDelegation |
Duomenų tipas |
REG_DWORD |
Duomenys |
1:išjungia vykdymo režimą. 0:įjungia vykdymo režimą. Tai apsaugota būsena. |
Numatytoji reikšmė |
1 |
Ar būtina paleisti iš naujo? |
Ne |
Pastabos apie
"NonForwardableDelegation" registro reikšmę:
-
Jei nustatyta registro reikšmė, ji bus viršesnė už vykdymo režimo parametrą, įtrauktą į 2021 m. kovo 9 d. Windows naujinimus.
-
Jei registro reikšmė nustatyta kaip 1 (Išjungti), "Kerberos" tarnybos kvituose, kurie nepažymėti kaip persiųstini, bus leidžiamas peradresavimas.
-
Jei registro reikšmė nustatyta kaip 0 (Įgalinti), "Kerberos" tarnybos kvituose, kurie nėra pažymėti kaip persiųstini, persiuntimas nebus leidžiamas.
-
-
Jei jūsų domene yra "Windows Server 2008 R2" arba ankstesni "Active Directory" domeno valdikliai, jums nereikia nustatyti vykdymo režimo, nes šie domeno valdikliai nepalaiko RBCD.
-
Nepavykus nuosekliai atnaujinti visų "Active Directory" domeno valdiklių įgalinus vykdymo režimą, gali atsirasti su pertraukomis susijusios tarnybos perdavimo klaidos.
-
Prieš nustatydami vykdymo režimą:
-
Visi "Active Directory" domeno valdikliai turi būti atnaujinti 2020 m. gruodžio 8 d. Windows naujinį arba Windows naujinimą, ir
-
Visi neapmokėti "S4USelf Kerberos" tarnybos bilietų galiojimo laikas turi būti pasibaigęs laukdami dienos, Windows "Active Directory" domeno valdiklių naujinimo diegimas.
-
Papildomos pastabos
Įgalinus šią apsaugą, ji suvienoduoja Resource-Based perdavimo (RBCD) logiką su pradiniu apribotu perdavimu. Tai gali sukelti problemų šiuose dviejuose scenarijuose:
-
Viena tarnyba vienu metu naudoja pradinę "Kerberos Constrained Delegation" (KCD) be protokolo perėjimo į vieną tikslą, kai ji naudoja RBCD su protokolo perėjimu į kitą. Atlikus šį pakeitimą, atsisakymas pereiti prie protokolo bus taikomas abiems perdavimo stiliams.
-
RBCD naudojamas domene, kuris naudoja domeno valdiklius, kurie neatnaujinami NAUDOJANT CVE-2020-16996 arba veikia senesnės "Windows Server" versijos (senesnės nei "Window Server 2012"), kurie neturi galimų CVE-2020-16996 naujinimų. Neatnaujinami kodų paskirstymo centrai (KDCs) nepažymės "S4USelf Kerberos" paslaugų bilietų, nes bus atsisakyta perdavimo ir protokolo perėjimo.