Suvestinė

2021 m. liepos 13 d. Windows naujinimai ir Windows naujinimai įtraukia CVE-2021-33757 apsaugą.

Įdiegus 2021 m. liepos 13 d. "Windows" naujinimus arba naujesnius "Windows" naujinimus, išplėstinio šifravimo standarto (AES) šifravimas bus pageidaujamas būdas "Windows" klientams naudojant senstelėjusį MS-SAMR protokolą slaptažodžio operacijoms, jei SAM serveris palaiko AES šifravimą. Jei SAM serveris nepalaiko AES šifravimo, bus leidžiama grįžti prie senstelėjusio RC4 šifravimo.

CVE-20201-33757 pakeitimai yra specifiniai MS-SAMR protokolui ir nepriklauso nuo kitų autentifikavimo protokolų. MS-SAMR naudoja SMB RPC ir įvardytuosius kanalus. Nors SMB taip pat palaiko šifravimą, pagal numatytuosius nustatymus jis neįgalintas. Pagal numatytuosius nustatymus CVE-20201-33757 pakeitimai yra įgalinti ir suteikia papildomą saugą SAM lygyje. Jokių papildomų konfigūracijos keitimų nereikia, ne tik diegiant CVE-20201-33757 apsaugą, įtrauktą į 2021 m. liepos 13 d. "Windows" naujinimus arba naujesnius "Windows" naujinimus visose palaikomose "Windows" versijose. Nepalaikomos "Windows versijos turėtų būti nutrauktos arba modernizuotos į palaikomą versiją.

Pastaba CVE-2021-33757 tik modifikuoja, kaip slaptažodžiai šifruojami transportuojant naudojant konkrečias MS-SAMR protokolo API ir konkrečiai NEKEISKITE slaptažodžių slėpinio. Daugiau informacijos apie tai, kaip slaptažodžiai užšifruojami "Active Directory" ir vietoje SAM duomenų bazėje (registre), žr. Slaptažodžių apžvalga.

Daugiau informacijos  

Esamas "SamrConnect5" metodas paprastai naudojamas norint užmegzti ryšį tarp SAM kliento ir serverio.

Atnaujintas serveris dabar grąžins naują bitą "SamrConnect5() atsakyme, kaip apibrėžta "SAMPR_REVISION_INFO_V1". 

Reikšmė

Reikšmė

0x00000010

Gavus kliento, ši reikšmė, kai nustatyta, nurodo, kad klientas turėtų naudoti AES šifravimą su SAMPR_ENCRYPTED_PASSWORD_AES struktūra, kad šifruotų slaptažodžių buferius, kai jie siunčiami laidu. Žr. AES šifro naudojimas (3.2.2.4 skyrius)ir SAMPR_ENCRYPTED_PASSWORD_AES (2.2.6.32 skyrius).

Jei atnaujintas serveris palaiko AES, klientas slaptažodžių operacijoms naudos naujus metodus ir naujas informacijos klases. Jei serveris negrąžina šios vėliavėlės arba klientas neatnaujinamas, klientas grįš prie ankstesnių metodų su RC4 šifravimu.

Slaptažodžio rinkinio operacijoms reikia rašomojo domeno valdiklio (RWDC). Slaptažodžio pakeitimus persiunčia tik skaitymo domeno valdiklis (RODC) į RWDC. Visi įrenginiai turi būti atnaujinti, kad būtų galima naudoti AES. Pavyzdžiui:

  • Jei klientas, RODC arba RWDC neatnaujinamas, bus naudojamas RC4 šifravimas.

  • Jei klientas, RODC ir RWDC atnaujinami, bus naudojamas AES šifravimas.

2021 m. liepos 13 d. naujinimai įtraukia keturis naujus įvykius į sistemos žurnalą, kad padėtų identifikuoti įrenginius, kurie nėra atnaujinti ir padeda pagerinti saugą.

  • Konfigūracijos būsena Įvykio ID 16982 arba 16983 užregistruojamas paleidžiant arba po registro konfigūracijos keitimo.Įvykio ID 16982

    Įvykių žurnalas

    Sistema

    Įvykio šaltinis

    Directory-Services-SAM

    Įvykio ID

    16982

    Lygis

    Informacija

    Įvykio pranešimo tekstas

    Saugos paskyrų tvarkytuvas dabar registruos daugiažodžius įvykius nuotoliniams klientams, kurie vadina senstelėjusio slaptažodžio keitimą arba nustato RPC metodus. Šis parametras gali sukelti daug pranešimų ir jį galima naudoti tik trumpą laiką problemoms diagnozuoti.

    Įvykio ID 16983

    Įvykių žurnalas

    Sistema

    Įvykio šaltinis

    Directory-Services-SAM

    Įvykio ID

    16983

    Lygis

    Informacija

    Įvykio pranešimo tekstas

    Saugos paskyrų tvarkytuvas dabar registruos periodinius suvestinės įvykius nuotoliniams klientams, kurie vadina senstelėjusio slaptažodžio keitimą arba nustato RPC metodus.

  • Pritaikius 2021 m. liepos 13 d. naujinimą, kas 60 minučių sistemos įvykių žurnale užregistruojamas suvestinės įvykis 16984.Įvykio ID 16984

    Įvykių žurnalas

    Sistema

    Įvykio šaltinis

    Directory-Services-SAM

    Įvykio ID

    16984

    Lygis

    Informacija

    Įvykio pranešimo tekstas

    Saugos paskyrų tvarkytuvas aptiko %x senstelėjusį slaptažodžio keitimą arba nustatė RPC metodo skambučius per pastarąsias 60 minučių.

  • Sukonfigūravę išsamų įvykių registravimą, įvykio ID 16985 užregistruojamas sistemos įvykių žurnale kiekvieną kartą, kai senstelėjęs RPC metodas naudojamas paskyros slaptažodžiui keisti arba nustatyti.Įvykio ID 16985

    Įvykių žurnalas

    Sistema

    Įvykio šaltinis

    Directory-Services-SAM

    Įvykio ID

    16985

    Lygis

    Informacija

    Įvykio pranešimo tekstas

    Saugos paskyrų tvarkytuvas aptiko senstelėjusio keitimo naudojimą arba nustatė RPC metodą iš tinklo kliento. Apsvarstykite galimybę atnaujinti kliento operacinę sistemą arba taikomąją programą, kad būtų galima naudoti naujausią ir saugesnę šio metodo versiją.

    Išsami informacija:

    RPC metodas: %1

    Kliento tinklo adresas: %2

    Kliento SID: %3

    Vartotojo vardas: %4 

    Norėdami prisijungti prie daugiažodio įvykio ID 16985, perjunkite šią registro reikšmę serveryje arba domeno valdiklyje.

    Kelias

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Tipas

    REG_DWORD

    Reikšmės pavadinimas

    AuditLegacyPasswordRpcMethods

    Reikšmės duomenys

     1 = įgalintas daugiažodis registravimas

     0 arba nėra = daugiažodis registravimas yra išjungtas. Tik suvestinės įvykiai. (Numatytoji reikšmė)

Kaip aprašyta SamrUnicodeChangePasswordUser4 (Opnum 73), kai naudojate naują SamrUnicodeChangePasswordUser4 metodą, klientas ir serveris naudos PBKDF2 algoritmą, kad gautų šifravimo ir iššifravimo raktą iš paprastojo teksto senojo slaptažodžio. Taip yra todėl, kad senasis slaptažodis yra vienintelė įprasta paslaptis, žinoma tiek serveriui, tiek klientui.  

Daugiau informacijos apie PBKDF2 žr. Funkcija BCryptDeriveKeyPBKDF2 (bcrypt.h).

Jei turite pakeisti veikimo ir saugos sumetimais, galite koreguoti PBKDF2 iteracijų, kuriuos klientas naudoja keisdami slaptažodį, skaičių nustatydami šią kliento registro reikšmę.

Pastaba: Sumažinus PBKDF2 iteracijų skaičių, sumažės sauga.  Nerekomenduojame sumažinti skaičiaus pagal numatytuosius parametrus. Tačiau rekomenduojame naudoti didžiausią galimą PBKDF2 iteracijų skaičių.

Kelias 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Tipas 

REG_DWORD 

Reikšmės pavadinimas 

PBKDF2Iterations 

Reikšmės duomenys 

Mažiausiai nuo 5 000 iki daugiausia 1 000 000

Numatytoji reikšmė 

10,000  

Pastaba: PBKDF2 nėra naudojamas slaptažodžių rinkinio operacijoms. Slaptažodžių rinkinio operacijoms SMB seanso raktas yra bendrinama kliento ir serverio paslaptis, kuri naudojama kaip šifravimo raktų išvedimo pagrindas. 

Daugiau informacijos žr. SMB seanso rakto įsigijimas.

Dažnai užduodami klausimai (DUK)

Ankstesnės versijos diegimas įvyksta, kai serveris arba klientas nepalaiko AES.   

Atnaujinti serveriai registruos įvykius, kai naudojami senstelėję metodai su RC4. 

Šiuo metu vykdymo režimo nėra, tačiau gali būti ir ateityje. Neturime datos. 

Jei trečiosios šalies įrenginys nenaudoja SAMR protokolo, tai nėra svarbu. Trečiųjų šalių tiekėjai, kurie įgyvendina MS-SAMR protokolą, gali pasirinkti tai įgyvendinti. Jei reikia klausimų, susisiekite su trečiosios šalies tiekėju. 

Nereikia atlikti jokių papildomų keitimų.  

Šis protokolas yra senstelėjusi ir tikimės, kad jo naudojimas yra labai mažas. Senstelėjusios taikomosios programos gali naudoti šias API. Be to, kai kurie "Active Directory" įrankiai, pvz., AD vartotojai ir kompiuteriai MMC, naudoja SAMR.

ne. Paveikiami tik slaptažodžių keitimai, naudojantys šiuos konkrečius SAMR API.

taip. PBKDF2 yra brangesnis nei RC4. Jei tuo pačiu metu domeno valdiklyje, kuris skambina SamrUnicodeChangePasswordUser4 API, yra daug slaptažodžių keitimų, gali būti paveikta LSASS CPU apkrova. Jei reikia, galite koreguoti PBKDF2 iteracijas klientams, tačiau mes nerekomenduojame mažinti pagal numatytuosius parametrus, nes tai sumažins saugą.  

Nuorodos

Autentifikuotas šifravimas su AES-CBC ir HMAC-SHA

AES šifro naudojimas

Trečiosios šalies informacijos atsisakymas

Mes teikiame trečiosios šalies kontaktinę informaciją, kuri padės jums rasti techninės pagalbos. Ši kontaktinė informacija gali pasikeisti be įspėjimo. Negarantuojame šios trečiosios šalies kontaktinės informacijos tikslumo.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.