ATNAUJINTA 2023 m. kovo 20 d. – pasiekiamumo skyrius
Suvestinė
Paskirstyto komponento objektų modelio (DCOM) nuotolinis protokolas yra programos objektų kūrimo naudojant nuotolinį procedūros iškvietimą (RPC) protokolas. DCOM naudojamas ryšiui tarp tinklo įrenginių programinės įrangos komponentų. Cve-2021-26414 buvo būtini DCOM keitimų sukietėjimo pakeitimai. Todėl rekomenduojame patikrinti, ar kliento ar serverio programos jūsų aplinkoje, kurios naudoja DCOM arba RPC, veikia taip, kaip tikėtasi, kai įjungti sukietinimo pakeitimai.
Pastaba Primygtinai rekomenduojame įdiegti naujausią pasiekiamą saugos naujinimą. Jos teikia išplėstinę apsaugą nuo naujausių saugos grėsmių. Jos taip pat teikia galimybes, kurias įtraukėme, kad palaikytume perkėlimą. Jei reikia daugiau informacijos ir konteksto apie tai, kaip mes sustigiame DCOM, žr . DCOM autentifikavimo sustigrinimas: ką reikia žinoti.
Pirmasis DCOM naujinimų etapas buvo išleistas 2021 m. birželio 8 d. Tame naujinime DCOM sukietinimas buvo išjungtas pagal numatytuosius parametrus. Jas galite įjungti modifikuodami registrą, kaip aprašyta tolesnėje dalyje "Registro parametras, skirtas įjungti arba išjungti sukietinimo pakeitimus". Antrasis DCOM naujinimų etapas buvo išleistas 2022 m. birželio 14 d. Dėl to pagal numatytuosius parametrus buvo pakeistas sustigrinimas į įgalintas, bet išsaugoma galimybė išjungti pakeitimus naudojant registro rakto parametrus. Galutinis DCOM naujinimų etapas bus išleistas 2023 m. kovo mėn. DCOM sukietėjimas bus įgalintas ir bus pašalinta galimybė jį išjungti.
Laiko planavimo juosta
|
Naujinimo leidimas |
Veikimo būdo keitimas |
|
2021 m. birželio 8 d. |
1 fazės leidimas – pagal numatytuosius parametrus išjungti sukietėjimo keitimai, bet galimybė juos įgalinti naudojant registro raktą. |
|
2022 m. birželio 14 d. |
2 fazės leidimas – pagal numatytuosius nustatymus įgalinti sukietinimo pakeitimai, bet galimybė juos išjungti naudojant registro raktą. |
|
2023 m. kovo 14 d. |
3 fazės leidimas – pagal numatytuosius parametrus įgalintų keitimų sukietinimas be galimybės juos išjungti. Šiuo metu turite išspręsti visas suderinamumo problemas, susijusias su aplinkos pakeitimų ir programų sustiprinimas. |
DCOM sukietinimo suderinamumo tikrinimas
Nauji DCOM klaidų įvykiai
Kad būtų lengviau nustatyti programas, kurios gali turėti suderinamumo problemų, kai įgaliname DCOM saugos sustiprinimo pakeitimus, sistemos žurnale įtraukėme naujų DCOM klaidų įvykių. Žr. toliau pateiktas lenteles. Sistema užregistruos šiuos įvykius, jei aptiks, kad DCOM kliento programa bando aktyvinti DCOM serverį naudodama autentifikavimo lygį, mažesnį nei RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Galite sekti kliento įrenginį iš serverio įvykių žurnalo ir naudoti kliento įvykių žurnalus programai rasti.
Serverio įvykiai – Nurodyti, kad serveris gauna žemesnio lygio užklausas
|
Įvykio ID |
Pranešimas |
|---|---|
|
10036 |
"Serverio autentifikavimo lygio strategija neleidžia vartotojui %1\%2 SID (%3) iš adreso %4 aktyvinti DCOM serverio. Padidinkite aktyvinimo autentifikavimo lygį bent iki RPC_C_AUTHN_LEVEL_PKT_INTEGRITY kliento programoje." (%1 – domenas, %2 – vartotojo vardas, %3 – vartotojo SID, %4 – kliento IP adresas) |
Kliento įvykiai – nurodo, kuri programa siunčia žemesnio lygio užklausas
|
Įvykio ID |
Pranešimas |
|---|---|
|
10037 |
"Programa %1 su PID %2 prašo aktyvinti CLSID %3 kompiuteryje %4 su aiškiai nustatytu autentifikavimo lygiu %5. Mažiausias aktyvinimo autentifikavimo lygis, kurio reikia DCOM, yra 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Norėdami padidinti aktyvinimo autentifikavimo lygį, kreipkitės į programos tiekėją." |
|
10038 |
"Programa %1 su PID %2 prašo aktyvinti CLSID %3 kompiuteryje %4 su numatytuoju aktyvinimo autentifikavimo lygiu %5. Mažiausias aktyvinimo autentifikavimo lygis, kurio reikia DCOM, yra 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Norėdami padidinti aktyvinimo autentifikavimo lygį, kreipkitės į programos tiekėją." (%1 – programos kelias, %2 – taikomosios programos PID, %3 – COM klasės, kurią prašo aktyvinti, CLSID, %4 – kompiuterio vardas, %5 – autentifikavimo lygio reikšmė) |
Prieinamumą
Šie klaidų įvykiai galimi tik "Windows" versijų pogrupiui; žr. toliau pateiktą lentelę.
|
„Windows“ versija |
Galima naudoti šias datas arba vėliau |
|---|---|
|
Windows Server 2022 |
2021 m. rugsėjo 27 d. |
|
Windows 10, 2004, Windows 10, 20H2 versija, Windows 10, 21H1 versija |
2021 m. rugsėjo 1 d. |
|
„Windows 10“ 1909 versija |
2021 m. rugpjūčio 26 d. |
|
"Windows Server 2019", Windows 10, 1809 versija |
2021 m. rugpjūčio 26 d. |
|
"Windows Server 2016", Windows 10, 1607 versija |
2021 m. rugsėjo 14 d. |
|
"Windows Server 2012 R2" ir ""Windows 8".1" |
2021 m. spalio 12 d. |
|
Windows 11, 22H2 versija |
2022 m. rugsėjo 30 d. |
Kliento pusės užklausos automatinio padidinimo pataisa
Autentifikavimo lygis visoms ne anoniminėms aktyvinimo užklausoms
Siekdami sumažinti programėlių suderinamumo problemas, automatiškai padidinome visų ne anoniminių aktyvinimo užklausų iš "Windows" DCOM klientų autentifikavimo lygį, kad RPC_C_AUTHN_LEVEL_PKT_INTEGRITY bent. Atlikus šį pakeitimą, dauguma "Windows" pagrįstų DCOM klientų užklausų bus automatiškai priimamos, kai serverio pusėje įjungti DCOM sukietinimo pakeitimai be jokių papildomų DCOM kliento pakeitimų. Be to, dauguma "Windows" DCOM klientų automatiškai veiks su DCOM sustifravus keitimus serverio pusėje, ir DCOM klientui nebus papildomai modifikuota.
Pastaba Ši pataisa ir toliau bus įtraukta į kaupiamuosius naujinimus.
Pataisų naujinimo laiko planavimo juosta
Nuo pradinio išleidimo 2022 m. lapkričio mėn., automatinio didesnių teisių pataisoje buvo keli naujinimai.
-
2022 m. lapkričio mėn. naujinimas
-
Šis naujinimas automatiškai pakelė aktyvinimo autentifikavimo lygį iki paketo vientisumo. Šis pakeitimas buvo išjungtas pagal numatytuosius parametrus "Windows Server 2016" ir "Windows Server 2019".
-
-
2022 m. gruodžio mėn. naujinimas
-
Lapkričio mėn. keitimas buvo įgalintas pagal numatytuosius parametrus "Windows Server 2016" ir "Windows Server 2019".
-
Šis naujinimas taip pat išsprendžia problemą, kuri turėjo įtakos anoniminio aktyvinimo "Windows Server 2016" ir "Windows Server 2019".
-
-
2023 m. sausio mėn. naujinimas
-
Šis naujinimas išsprendė problemą, kuri turėjo įtakos anoniminio aktyvinimo platformose iš "Windows Server 2008" į "Windows 10" (pradinė versija, išleista 2015 m. liepos mėn.).
-
Jei savo klientuose ir serveriuose įdiegėte kaupiamuosius saugos naujinimus nuo 2023 m. sausio mėn., jie turės naujausią automatinio didesnių teisių pataisą, visiškai įjungtą.
Registro parametras, skirtas įjungti arba išjungti sukietinimo pakeitimus
Laiko planavimo juostos etapais, kai galite įjungti arba išjungti CVE-2021-26414 griežinimo pakeitimus, galite naudoti šį registro raktą:
-
Kelias: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Reikšmės pavadinimas: "RequireIntegrityActivationAuthenticationLevel"
-
Tipas: dword
-
Reikšmės duomenys: numatytoji = 0x00000000 reiškia išjungta. 0x00000001 reiškia įgalintą. Jei ši reikšmė neapibrėžta, ji bus įjungta pagal numatytuosius parametrus.
Pastaba Reikšmės duomenis turite įvesti šešioliktainiu formatu.
Svarbu Nustatę šį registro raktą, turite iš naujo paleisti įrenginį, kad jis įsigaliotų.
Pastaba Įgalinus aukščiau pateiktą registro raktą, DCOM serveriai įgalins aktyvinimui Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY arba naujesnę versiją. Tai neturi įtakos anoniminiams aktyvinimams (aktyvinimas naudojant autentifikavimo lygį RPC_C_AUTHN_LEVEL_NONE). Jei DCOM serveris leidžia anoniminį aktyvinimą, jis vis tiek bus leidžiamas net įgalinus DCOM sukietinimo pakeitimus.
Pastaba Šios registro reikšmės pagal numatytuosius nustatymus nėra; turite jį sukurti. "Windows" ją perskaitys, jei ji yra, ir jos neperrašys.
Pastaba Įdiegus vėlesnius naujinimus, esami registro įrašai ir parametrai nebus nei keičiami, nei pašalinami.
