Svarīgi!: Iepriekš šajā rakstā norādītie izlaides datumi ir mainījušies. Lūdzu, ņemiet vērā jaunos laidiena datumus, kas atrodas sadaļā "darbību veikšana" un "šo Windows atjauninājumu hronometrāža".

Kopsavilkums

Drošības līdzekļa apiešanas ievainojamība pastāv atkarībā no tā, kā atslēgu sadales centrs ir noteicis, vai Kerberos pakalpojumu biļeti var izmantot deleģēšanai ar Kerberos ierobežotu deleģēšanu (KCD). Lai izmantotu šo ievainojamību, kompromitēts pakalpojums, kas ir konfigurēts izmantot KCD, var būt piemērots Kerberos pakalpojuma biļetei, kas nav derīgs deleģēšanai, lai to pieņemtu. Šie Windows atjauninājumi novērš šo problēmu, mainot to, kā atslēgu centrs validē Kerberos pakalpojumu biļetes, ko izmanto kopā ar KCD.

Papildinformāciju par šo problēmu skatiet rakstā CVE-2020-17049

Darbību veikšana

Lai aizsargātu vidi un novērstu dīkstāves, ir jāveic visas tālāk norādītās darbības.

  1. Atjauniniet visas ierīces, kas vieso Active Directory domēna kontrollera lomu, instalējot vismaz vienu no Windows atjauninājumiem starp 8. decembri, 2020 un Mar 9, 2021. Ņemiet vērā, ka Windows Update instalēšana pilnībā nemazina drošības ievainojamību. Jāveic arī 2. un 3. darbība.

  2. Atjauniniet visas ierīces, kas vieso Active Directory domēna kontrollera lomu, instalējot 13. aprīlī, 2021 Windows Update.

  3. Iespējot Izpildes režīms visos Active Directory domēna kontrolleros.

  4. Sākot ar 13. jūliju, 2021 ieviešanas fāzes atjauninājums, visos Windows domēna kontrolleros tiks iespējots izpildes režīms.

Šo Windows atjauninājumu hronometrāža

Šie Windows atjauninājumi tiks izlaisti trīs fāzēs:

  • Sākotnējā izvietošanas fāze Windows atjauninājumiem, kas izlaisti vai pēc 8. decembra, 2020.

  • Otrā izvietošanas fāze, kas noņem PerformTicketSignature iestatījumu 0 , un pēc tam ir jāiestata 1 vai 2, uz vai pēc 13. aprīļa, 2021.

  • Windows atjauninājumu ieviešanas fāze, kas izlaista 2021. gada 13. jūlijā vai pēc tam.

2020. decembris: sākotnējā izvietošanas fāze

Sākotnējā izvietošanas fāze sākas ar Windows atjauninājumu, kas izlaists 2020. gada 8. decembrī, un turpina ar jaunāku Windows atjauninājumu ieviešanas fāzē. Šie un vēlākie Windows atjauninājumi veikt izmaiņas Kerberos. Šajā 8. decembrī 2020 atjauninājumā ir labojumi visām zināmajām problēmām, kas sākotnēji tika ieviestas ar CVE-2020-17049. gada 10. novembrī 2020 laidienu. Šajā atjauninājumā tiek pievienots arī atbalsts Windows Server 2008 SP2 un Windows Server 2008 R2.

Šis laidiens:

  • Adreses CVE-2020-17049 (izvietošanas režīmā pēc noklusējuma).

  • Pievieno atbalstu PerformTicketSignature reģistra vērtībai, lai iespējotu Active Directory domēnu kontrolleru serveru aizsardzību. Pēc noklusējuma šī vērtība nepastāv.

Ietekmes mazināšanas līdzeklis ir Windows atjauninājumu instalēšana visās ierīcēs, kas vieso Active Directory domēna kontrollera lomu un tikai lasāmus domēnu kontrolierus (RODC), un pēc tam iespējošanas režīmu.

13. aprīlis, 2021: otrā izvietošanas fāze

Otrā izvietošanas fāze tiek sākta ar Windows atjauninājumu, kas izlaists 2021. gada 13. aprīlī. Šajā fāzē tiek noņemta PerformTicketSignature iestatījums 0. Iestatot PerformTicketSignature līdz 0 pēc tam, kad šis atjauninājums ir instalēts, būs tāds pats efekts kā iestatīt PerformTicketSignature uz 1. DCs būs izvietošanas režīmā.

Piezīmes.

  • Šī fāze nav nepieciešama, ja jūsu vidē PerformTicketSignature nekad nav iestatīts uz 0 . Šis posms palīdz nodrošināt, ka klienti, kas iestata PerformTicketSignature uz 0 , tiek pārvietoti uz iestatījumu 1 pirms izpildes fāzes.

  • Kad ir izvietojis 13. aprīļa 2021 atjauninājumi, PerformTicketSignature iestatīšana uz 1 ļaus pakalpojumu biļetes atjaunot. Šīs ir izmaiņas uzvedībā no 2021 Windows atjauninājumi, iestatot PerformTicketSignature līdz 1 , kas izraisīja pakalpojumu biļetes nav atjaunojamas.

  • Šajā atjauninājumā tiek pieņemts, ka visi domēnu kontrolleri tiek atjaunināti, izmantojot 8. decembri, 2020 atjauninājumus vai jaunākus atjauninājumus.

  • Pēc šī atjauninājuma instalēšanas manuāli vai programmiski iestatot PerformTicketSignature uz 1 vai jaunāku, neatbalstītie Windows Server domēna kontrolleri vairs nedarbosies ar atbalstītajiem domēnu kontrolleriem. Tas ietver sistēmu Windows Server 2008 un Windows Server 2008 R2, neizmantojot paplašinātos drošības atjauninājumus (ESU) un Windows Server 2003.

2021. gada 13. jūlijs: izpildes fāze

2021. gada 13. jūlijā izpildes fāzē. Izpildes posms ievieš izmaiņas adresē CVE-2020-17049. Active Directory domēna kontrolleri tagad ir spējīgi izpildīt režīmu. Došanās uz izpildes režīmu ir nepieciešams, lai visiem Active Directory domēna kontrolleriem būtu instalēts 8. decembris, 2020 atjauninājums vai vēlāks Windows atjauninājums. Pašlaik PerformTicketSignature reģistra atslēgas iestatījumi tiks ignorēti, un izpildes režīmu nevarēs pārņemt. 

Instalēšanas norādījumi

Pirms šī atjauninājuma instalēšanas

Lai varētu lietot šo atjauninājumu, ir jābūt instalētiem tālāk norādītajiem nepieciešamajiem atjauninājumiem. Ja izmantojat Windows Update, šie nepieciešamie atjauninājumi tiks automātiski piedāvāti pēc nepieciešamības.

  • Jums ir jābūt SHA-2 atjauninājumam (KB4474419), kas datēts ar 23. septembri, 2019 vai jaunākas versijas SHA-2 atjauninājumu, un pēc tam restartējiet ierīci, pirms lietojat šo atjauninājumu. Papildinformāciju par SHA-2 atjauninājumiem skatiet rakstā 2019 SHA-2 koda paraksta atbalsta prasība sistēmai Windows un WSUS.

  • Ja izmantojat Windows Server 2008 R2 SP1, jums ir jābūt instalētai apkalpošanas steka atjauninājumam (SSU) (KB4490628), kas datēts ar 2019. gada 12. marts. Kad ir instalēts atjauninājums KB4490628 , ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunāko SSU atjauninājumu skatiet rakstā ADV990001 | Jaunākie apkalpošanas steka atjauninājumi.

  • Sistēmā Windows Server 2008 SP2 ir jābūt instalētai apkalpošanas steka atjauninājumam (SSU) (KB4493730), kas datēts ar 2019 aprīlis 9. Kad ir instalēts atjauninājums KB4493730 , ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunākajiem SSU atjauninājumiem skatiet rakstā ADV990001 | Jaunākie apkalpošanas steka atjauninājumi.

  • Klientiem ir jāiegādājas paplašinātais drošības atjauninājums (ESU) lokālās versijas Windows Server 2008 SP2 vai windows Server 2008 R2 SP1 pēc paplašinātā atbalsta, kas beidzās gada 14. janvārī, 2020. Klientiem, kas iegādājušies ESU, ir jāizpilda KB4522133 procedūras, lai turpinātu saņemt drošības atjauninājumus. Papildinformāciju par ESU un kuru izdevumu atbalstu skatiet rakstā KB4497181.

Svarīgi!Pēc šo obligāto atjauninājumu instalēšanas ir jārestartē ierīce.

Visu atjauninājumu instalēšana

Lai novērstu drošības problēmu, instalējiet visus Windows atjauninājumus un iespējojiet izpildes režīmu, veicot tālāk norādītās darbības.

  1. Izvietojiet vismaz vienu no atjauninājumiem no 8. decembra līdz 2020. martam, 2021, visiem Active Directory domēna kontrolleriem mežā.

  2. Izvietošanas 12. aprīlī 2021 atjauniniet vismaz vienu vai vairākas nedēļas pēc 1. darbības.

  3. Pēc tam, kad visi Active Directory domēna kontrolleri ir atjaunināti, uzgaidiet vismaz visu nedēļu , lai nodrošinātu visu nenomaksāto pakalpojumu lietotājam (S4U2self) Kerberos pakalpojuma biļešu derīguma termiņš un pēc tam pilnīgu aizsardzību var iespējot, izvietojot Active Directory domēna kontrollera izpildes režīmu.

    Piezīmes

    • Ja esat modificējis Kerberos pakalpojuma biļetes derīguma laiku no noklusējuma iestatījumiem (noklusējums ir 7 dienas), jums ir jāgaida vismaz dienu skaits, cik tas ir konfigurēts jūsu vidē.

    • Veicot šīs darbības, tiek pieņemts, ka PerformTicketSignature savā vidē nekad nav iestatīts uz 0 . Ja PerformTicketSignature ir iestatīts uz 0, pirms pāriešanas uz 2 . iestatījumu (izpildes režīms) ir jāpārvietojas uz 1 ., lai visi nenomaksātie pakalpojumi lietotājam (S4U2self) Kerberos pakalpojuma biļešu derīguma termiņš beigsies. Jūs nedrīkstat pārvietoties tieši no 0 . iestatījuma uz 2 . iestatījumu (izpildes režīms).


1. darbība: Windows atjauninājumu instalēšana

Instalējiet atbilstīgo decembris 8, 2020 Windows Update vai jaunāku Windows Update visās ierīcēs, kurās tiek viesota Active Directory domēna kontrollera loma mežā, tostarp tikai lasāmi domēna kontrolleri.

Windows Server produkts

KB #

Atjaunināšanas veids

Windows Server, versija 20H2 (Server Core Installation)

4592438

Drošības atjauninājums

Windows Server, versija 2004 (Server Core Installation)

4592438

Drošības atjauninājums

Windows Server, versija 1909 (Server Core Installation)

4592449

Drošības atjauninājums

Windows Server, versija 1903 (Server Core Installation)

4592449

Drošības atjauninājums

Windows Server 2019 (servera pamata instalācija)

4592440

Drošības atjauninājums

Windows Server 2019

4592440

Drošības atjauninājums

Windows Server 2016 (servera pamata instalācija)

4593226

Drošības atjauninājums

Windows Server 2016

4593226

Drošības atjauninājums

Windows Server 2012 R2 (servera pamata instalācija)

4592484

Mēneša apkopojums

4592495

Tikai drošība

Windows Server 2012 R2

4592484

Mēneša apkopojums

4592495

Tikai drošība

Windows Server 2012 (servera pamata instalācija)

4592468

Mēneša apkopojums

4592497

Tikai drošība

Windows Server 2012

4592468

Mēneša apkopojums

4592497

Tikai drošība

Windows Server 2008 R2 1. servisa pakotne

4592471

Mēneša apkopojums

4592503

Tikai drošība

Windows Server 2008 2. servisa pakotne

4592498

Mēneša apkopojums

4592504

Tikai drošība

2. darbība. iespējot izpildes režīmu

Pēc tam, kad visas ierīces, kas vieso Active Directory domēna kontrollera lomu, ir atjauninātas, uzgaidiet vismaz visu nedēļu , lai atļautu visas nenokārtotās S4U2self Kerberos pakalpojuma biļešu derīguma termiņš. Pēc tam iespējojiet pilno aizsardzību, izvietojot izpildes režīmu. Lai to izdarītu, iespējojiet reģistra atslēgu Enforcement mode.

Brīdinājums Ja reģistrs tiek nepareizi modificēts, izmantojot reģistra redaktoru vai citu metodi, var rasties nopietnas problēmas. Šīm problēmām var būt nepieciešams atkārtoti instalēt operētājsistēmu. Microsoft nevar garantēt, ka šīs problēmas var novērst. Modificējiet reģistru ar savu risku.

Piezīme. Šajā atjauninājumā ir ieviests atbalsts tālāk norādītajai reģistra vērtībai, lai iespējotu izpildes režīmu. Šī reģistra vērtība nav izveidota, instalējot šo atjauninājumu. Šī reģistra vērtība ir jāpievieno manuāli.

Reģistra apakšatslēga

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Vērtību

PerformTicketSignature

Datu tips

REG_DWORD

Datu

1: iespējo izvietošanas režīmu. Labojums ir iespējots domēna kontrollerī, bet Active Directory domēna kontrollerī nav nepieciešams, lai Kerberos pakalpojuma biļetes atbilstu labojumam. Šis režīms pievieno atbalstu par biļešu parakstiem CVE-2020-17049 atjauninātos domēnu kontrolleros, bet domēna kontrolleriem nav nepieciešams parakstīt biļetes. Tas ļauj apvienot sākotnējās izvietošanas fāzes (DCs atjaunināts līdz decembra sākotnējai izvietošanas atjauninājumā) un atjaunināts domēna kontrolleri. Ja visi domēnu kontrolleri ir atjaunināti un 1. iestatījumos, visas jaunās biļetes tiks parakstītas. Šajā režīmā jaunās biļetes tiks atzīmētas kā atjaunojamas.

2. iespējo izpildes režīmu tas iespējo labojumu obligātajā režīmā, kur visi domēni ir jāatjaunina, un visi Active Directory domēna kontrolleri pieprasa Kerberos pakalpojuma biļetes ar parakstiem. Izmantojot šo iestatījumu, visām biļetēm jābūt parakstītām, lai tās tiktu uzskatītas par derīgām. Šajā režīmā biļetes tiks atzīmētas kā atjaunojamas.

0: nav ieteicams. Atspējo parakstu Kerberos pakalpojumu biļetes, un jūsu domēni nav aizsargāti.

Svarīgi 0 iestatīšana nav saderīga ar izpildes iestatījumu 2. Neregulāras autentifikācijas kļūmes var rasties, ja izpildes režīms tiek lietots vēlāk, kamēr domēns ir iestatīts uz 0. Iesakām klientiem pāriet uz 1 . iestatījumu pirms ieviešanas posma (vismaz nedēļu pirms ieviešanas).

Noklusējuma

1 (ja nav iestatīta reģistra atslēga)

Vai ir nepieciešama restartēšana?

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar tulkojuma kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×