|
SVARĪGI! Šajā rakstā iepriekš norādīts ieviešanas režīma datums ir mainīts uz 2021. gada 9. martā. |
Kopsavilkums
Ja izmantojat aizsargātos lietotājus un resursu ierobežoto deleģēšanu (Resource-Based Constrained Delegation — RBCD), active Directory domēna kontrolleros var rasties drošības ievainojamība. Lai uzzinātu vairāk par drošības ievainojamību, skatiet CVE-2020-16996.
|
Rīcība Lai aizsargātu vidi un novērstu darbības pārtraukumi, rīkojieties šādi:
|
Atjauninājumu hronometrāža
Šie Windows atjauninājumi tiks izlaisti divos posmos:
-
Sākotnējais izvietošanas posms produktu Windows 2020. gada 8. decembrī vai pēc tam.
-
2021. Windows atjaunināšanas ieviešanas posms, kas izlaists 2021. gada 9. martā vai pēc tam.
2020. gada 8. decembris: sākotnējā izvietošanas fāze
Sākotnējais izvietošanas posms sākas ar Windows 2020. gada 8. decembrī izlaisto atjauninājumu un turpina Windows atjauninājuma ieviešanas posmu. Šie un Windows atjauninājumi veic izmaiņas Kerberos.
Šajā laidienā:
-
Adreses CVE-2020-16996 (atspējotas pēc noklusējuma).
-
Pievieno atbalstu Reģistra vērtībai NonForwardableDelegation, lai iespējotu aizsardzību Active Directory domēna kontrollera serveros. Pēc noklusējuma vērtība nepastāv.
Risku mazināšana ietver atjauninājumu instalēšanu Windows ierīcēs, kurās tiek viesota Active Directory domēna kontrollera loma un tikai lasāmi domēna kontrolleri (RODC), un pēc tam iespējojot ieviešanas režīmu.
2021. gada 9. marts: ieviešanas posms
2021. gada 9. martā tika izlaistas pārejas ieviešanas posmā. Ieviešanas fāze ieviesīs izmaiņas CVE-2020-16996 adresē. Active Directory domēna kontrolleri tagad būs ieviešanas režīmā, ja vien ieviešanas režīma reģistra atslēga nav iestatīta uz 1 (atspējota). Ja ir iestatīta reģistra atslēga Ieviešanas režīms, iestatījums tiks paturēts. Lai aktivizētu ieviešanas režīmu, visiem Active Directory domēnu kontrolleriem ir jāinstalē 2020. gada 8. decembra atjauninājums vai jaunāka versija.
Norādījumi par instalēšanu
Pirms šī atjauninājuma instalēšanas
Lai varētu lietot šo atjauninājumu, jābūt instalētiem tālāk minētajiem nepieciešamajiem atjauninājumiem. Ja izmantojat Windows Update, šie nepieciešamie atjauninājumi tiks piedāvāti automātiski pēc nepieciešamības.
-
Jums ir jābūt instalētam SHA-2 atjauninājumam(KB4474419),kas ir 2019. gada 23. septembris, vai jaunākam SHA-2 atjauninājumam, un pēc tam restartējiet ierīci, pirms lietojat šo atjauninājumu. Papildinformāciju par SHA-2 atjauninājumiem skatiet rakstā 2019 SHA-2 kodaparakstīšanas atbalsta prasības Windows un WSUS.
-
Ja lietojat Windows Server 2008 R2 SP1, ir jābūt instalētam apkalpošanas grēdas atjauninājumam (servicing stack update — SSU)(KB4490628),kas ir novecojis 2019. gada 12. martā. Pēc atjauninājuma KB4490628 instalēšanas ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunāko SSU atjauninājumu skatiet ADV990001 | Jaunākie apkalpošanas steka atjauninājumi.
-
Ja lietojat Windows Server 2008 SP2, ir jāinstalē apkalpošanas grēdas atjauninājums (SSU) (KB4493730), kas ir novecojis 2019. gada 9. aprīlī. Pēc atjauninājuma KB4493730 instalēšanas ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunākajiem SSU atjauninājumiem skatiet ADV990001 | Jaunākie apkalpošanas steka atjauninājumi.
-
Klientiem ir jāiegādājas paplašinātais drošības atjauninājums (ESU) lokālām Windows Server 2008 SP2 vai Windows Server 2008 R2 SP1 versijām pēc paplašinātā atbalsta beigām 2020. gada 14. janvārī. Klientiem, kuri ir iegādājušies ESU, ir jāatbilst KB4522133 procedūras, lai turpinātu saņemt drošības atjauninājumus. Papildinformāciju par ESU un atbalstītajiem izdevumiem skatiet rakstā KB4497181.
Svarīgi!Pēc šo nepieciešamo atjauninājumu instalēšanas ir jārestartē ierīce.
Instalēt atjauninājumu
Lai novērstu drošības ievainojamību, instalējiet drošības Windows un iespējojiet ieviešanas režīmu, izpildot šīs darbības.
|
Brīdinājums Neregulāras autentifikācijas problēmas var rasties, Windows šie atjauninājumi un reģistra vērtība tiek nekonsekventi lietota vienā vai abos no šiem scenārijiem:
Svarīgi Abi Windows atjauninājumus un reģistra vērtība ir konsekventi jālieto VISĀS Active Directory domēna kontrolleros jūsu vidē. |
1. darbība. Windows atjauninājuma instalēšana
Instalējiet 2020. gada 8. Windows. decembra atjauninājumu vai jaunāku Windows atjauninājumu uz visām ierīcēm, kurās tiek viesota Active Directory domēna kontrollera loma mežā, tostarp tikai lasāmiem domēnu kontrolleriem.
|
Windows Server produkts |
KB # |
Atjaunināšanas veids |
|
Windows Server, versija 20H2 (Server Core Installation) |
Drošības atjauninājums |
|
|
Windows Server, versija 2004 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server, versija 1909 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server, versija 1903 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server 2019 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server 2019 |
Drošības atjauninājums |
|
|
Windows Server 2016 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server 2016 |
Drošības atjauninājums |
|
|
Windows Server 2012 R2 (Server Core instalēšana) |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2012 R2 |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2012 (Server Core instalēšana) |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2012 |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2008 R2 1. servisa pakotne |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2008 2. servisa pakotne |
Ikmēneša apkopojums |
|
|
Tikai drošība |
2. darbība. Ieviešanas režīma iespējošana
Pēc visu ierīču, kas vieso Active Directory domēna kontrollera lomu, atjaunināšanas uzgaidiet vismaz pilnu dienu, lai atļautu visiem neapmaksātajiem pakalpojumiem lietotājiem patstāvīgi (S4U2) Kerberos pakalpojumu biļešu derīguma beigas. Pēc tam iespējojiet pilnu aizsardzību, izvietojot ieviešanas režīmu. Lai to izdarītu, iespējojiet reģistra atslēgu Ieviešanas režīms.
Brīdinājums Ar reģistra redaktoru vai citu paņēmienu nepareizi modificējot reģistru, iespējamas nopietnas problēmas. Šo problēmu novēršanai var būt atkārtoti jāinstalē operētājsistēma. Korporācija Microsoft nevar garantēt, ka šīs problēmas varēs novērst. Reģistru modificējiet uz savu risku.
Piezīme. Instalējot šo atjauninājumu, šī reģistra vērtība netiek izveidota. Šī reģistra vērtība ir jāpievieno manuāli.
|
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Vērtība |
NonForwardableDelegation |
|
Datu tips |
REG_DWORD |
|
Dati |
1.Atspējo ieviešanas režīmu. 0:Iespējo izpildes režīmu. Šis ir aizsargāts stāvoklis. |
|
Noklusējums |
1 |
|
Vai nepieciešama restartēšana? |
Nē |
Piezīmes par reģistravērtību "NonForwardableDelegation":
-
Ja reģistra vērtība ir iestatīta, tai ir prioritāte attiecībā pret ieviešanas režīma iestatījumu, kas iekļauts 2021. gada 9. martā Windows atjauninājumiem.
-
Ja reģistra vērtība ir iestatīta uz 1 (Atspējot), pārsūtīšana ir atļauta Kerberos pakalpojumu biļetei, kas NAV atzīmēta kā pārsūtāma.
-
Ja reģistra vērtība ir iestatīta uz 0 (Iespējot), pārsūtīšana NETIKS atļauta Kerberos pakalpojumu biļetei, kas NAV atzīmēta kā pārsūtāma.
-
-
Ja jūsu domēnā ietilpst Windows Server 2008 R2 vai vecākas Active Directory domēna kontrolleri, jums nav jāiestata ieviešanas režīms, jo šie domēna kontrolleri neatbalsta RBCD.
-
Ja iespējojat ieviešanas režīmu, konsekventi atjaunināt visus Active Directory domēna kontrollerus radīs neregulāras pakalpojumu deleģēšanas kļūmes.
-
Pirms ieviešanas režīma iestatīšanas:
-
Visi Active Directory domēna kontrolleri ir jāatjaunina ar 2020. gada 8. decembri, lai Windows atjauninātu vai jaunāku Windows atjaunināšanu, un
-
Visu neizpildīto S4USelf Kerberos pakalpojumu biļešu derīguma termiņš ir beidzies vienas dienas laikā pēc Windows atjaunināšanas izvietošanas visās Active Directory domēna kontrolleros.
-
Papildu apsvērumi
Ja šī aizsardzība ir iespējota, tā apvieno Resource-Based deleģēšanu (RBCD), izmantojot sākotnējo ierobežoto deleģēšanu. Tas var izraisīt problēmas divos tālāk norādītos scenārijos.
-
Viens pakalpojums vienlaikus izmanto sākotnējo Kerberos ierobežotas deleģēšanas (Kerberos Constrained Delegation — KCD) bez protokola pārejas uz vienu mērķi, kamēr tas izmanto RBCD ar protokola pāreju uz citu. Pēc šo izmaiņu veida protokola atliegšana attiecas uz abiem deleģēšanas stiliem.
-
RBCD tiek lietots domēnā, kas izmanto domēna kontrollerus, kas nav atjaunināti ar CVE-2020-16996 vai izmanto vecākas Windows Server (vecākas par Window Server 2012) versijas, kurās nav pieejama atjauninājuma CVE-2020-16996. Atslēgu adresātu centri (Key Distribution Centers — KDC), kas nav atjaunināti, ne atzīmēs S4USelf Kerberos pakalpojumu biļetes kā deleģēšanas un protokola pārejas iespējas netiks liegtas.
