RBCD/aizsargātas lietotāju izmaiņu izvietošanas pārvaldība programmā CVE-2020-16996

SVARĪGI Izpildes režīma datums, kas iepriekš atzīmēts šajā rakstā, ir mainīts uz 2021. gada 9. martu.

Kopsavilkums

Ja izmantojat aizsargātos lietotājus un uz resursiem pamatotas deleģēšanas (RBCD), pakalpojuma Active Directory domēna kontrolleros var būt drošības ievainojamība. Papildinformāciju par drošības ievainojamību skatiet rakstā CVE-2020-16996.

Darbību veikšana

Lai aizsargātu savu vidi un novērstu dīkstāves, veiciet tālāk norādītās darbības.

  1. Atjauniniet visas ierīces, kas vieso Active Directory domēna kontrollera lomu, instalējot 8. decembris, 2020 Windows Update vai jaunāku Windows atjauninājumu. Ņemiet vērā, ka Windows Update instalēšana pilnībā nemazina drošības ievainojamību. Ir jāveic 2. darbība.

  2. Iespējot izpildes režīmu visos Active Directory domēna kontrolleros. Sākot ar 9. martu, 2021 atjauninājumu, izpildes režīmu var iespējot visos Windows domēnu kontrolleros.

Atjaunināšanas grafiks

Šie Windows atjauninājumi tiks izlaisti divās fāzēs:

  • Sākotnējā izvietošanas fāze Windows atjauninājumiem, kas izlaisti vai pēc 8. decembra, 2020.

  • Ieviešanas fāze Windows atjauninājumiem, kas izlaisti 2021. gada 9. martā vai pēc tam.

2020. decembris: sākotnējā izvietošanas fāze

Sākotnējā izvietošanas fāze sākas ar Windows atjauninājumu, kas izlaists 2020. gada 8. decembrī, un turpina ar jaunāku Windows atjauninājumu ieviešanas fāzē. Šie un vēlākie Windows atjauninājumi veikt izmaiņas Kerberos.

Šis laidiens:

  • Adreses CVE-2020-16996 (atspējots pēc noklusējuma).

  • Pievieno atbalstu NonForwardableDelegation reģistra vērtībai, lai iespējotu Active Directory domēnu kontrolleru serveru aizsardzību. Pēc noklusējuma vērtība nepastāv.

Ietekmes mazināšanas līdzeklis ir Windows atjauninājumu instalēšana visās ierīcēs, kas vieso Active Directory domēna kontrollera lomu un tikai lasāmus domēnu kontrolierus (RODC), un pēc tam iespējošanas režīmu.

9. marts, 2021: izpildes fāze

9. martā 2021 laidienu pārejas posmā. Izpildes posms ievieš izmaiņas adresē CVE-2020-16996. Active Directory domēna kontrolleri tagad būs izpildes režīmā, ja vien netiek iestatīts izpildes režīma reģistra atslēga uz 1 (atspējots). Ja ir iestatīta piedziņas režīma reģistra atslēga, iestatījums tiks pagodināts. Došanās uz izpildes režīmu ir nepieciešams, lai visiem Active Directory domēna kontrolleriem būtu instalēts 8. decembris, 2020 atjauninājums vai jaunāks atjauninājums.

Instalēšanas norādījumi

Pirms šī atjauninājuma instalēšanas

Lai varētu lietot šo atjauninājumu, ir jābūt instalētiem tālāk norādītajiem nepieciešamajiem atjauninājumiem. Ja izmantojat Windows Update, šie nepieciešamie atjauninājumi tiks automātiski piedāvāti pēc nepieciešamības.

  • Jums ir jābūt SHA-2 atjauninājumam (KB4474419), kas datēts ar 23. septembri, 2019 vai jaunākas versijas SHA-2 atjauninājumu, un pēc tam restartējiet ierīci, pirms lietojat šo atjauninājumu. Papildinformāciju par SHA-2 atjauninājumiem skatiet rakstā 2019 SHA-2 koda paraksta atbalsta prasība sistēmai Windows un WSUS.

  • Ja izmantojat Windows Server 2008 R2 SP1, jums ir jābūt instalētai apkalpošanas steka atjauninājumam (SSU) (KB4490628), kas datēts ar 2019. gada 12. marts. Kad ir instalēts atjauninājums KB4490628 , ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunāko SSU atjauninājumu skatiet rakstā ADV990001 | Jaunākie apkalpošanas steka atjauninājumi.

  • Sistēmā Windows Server 2008 SP2 ir jābūt instalētai apkalpošanas steka atjauninājumam (SSU) (KB4493730), kas datēts ar 2019 aprīlis 9. Kad ir instalēts atjauninājums KB4493730 , ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunākajiem SSU atjauninājumiem skatiet rakstā ADV990001 | Jaunākie apkalpošanas steka atjauninājumi.

  • Klientiem ir jāiegādājas paplašinātais drošības atjauninājums (ESU) lokālās versijas Windows Server 2008 SP2 vai windows Server 2008 R2 SP1 pēc paplašinātā atbalsta, kas beidzās gada 14. janvārī, 2020. Klientiem, kas iegādājušies ESU, ir jāizpilda KB4522133 procedūras, lai turpinātu saņemt drošības atjauninājumus. Papildinformāciju par ESU un kuru izdevumu atbalstu skatiet rakstā KB4497181.

Svarīgi!Pēc šo obligāto atjauninājumu instalēšanas ir jārestartē ierīce.

Atjauninājuma instalēšana

Lai novērstu drošības problēmu, instalējiet Windows atjauninājumus un iespējojiet izpildes režīmu, veicot tālāk norādītās darbības.

Brīdinājums Neregulāras autentifikācijas problēmas var rasties, ja šie Windows atjauninājumi un reģistra vērtība tiek lietoti nekonsekventi vienā vai abos tālāk norādītajos scenārijos:

  • 8. decembris 2020 Windows atjauninājums ir instalēts nekonsekventi Active Directory domēna kontrolleros un NonForwardableDelegation vērtība ir iestatīta uz 0 nekonsekventi šiem domēnu kontrolleriem.

  • 9. martā 2021 Windows atjauninājums ir instalēts neatbilstoši Active Directory domēnu kontrolleriem, kas netieši ir iespējoti, vispirms instalējot 8. decembris, 2020 Windows Update visos Windows Server 2008 R2 vai vecākos Active Directory domēna kontrolleros, kas atrodas zvanītāja, starpposma vai mērķa domēnos.

Svarīgi VISIEM Active Directory domēna kontrolleriem savā vidē ir jālieto gan Windows atjauninājumi, gan reģistra vērtība.


1. darbība: Windows Update instalēšana

Instalējiet 8. decembri, 2020 Windows Update vai jaunāku Windows Update visās ierīcēs, kurās tiek viesota Active Directory domēna kontrollera loma mežā, tostarp tikai lasāmi domēna kontrolleri.

Windows Server produkts

KB #

Atjaunināšanas veids

Windows Server, versija 20H2 (Server Core Installation)

4592438

Drošības atjauninājums

Windows Server, versija 2004 (Server Core Installation)

4592438

Drošības atjauninājums

Windows Server, versija 1909 (Server Core Installation)

4592449

Drošības atjauninājums

Windows Server, versija 1903 (Server Core Installation)

4592449

Drošības atjauninājums

Windows Server 2019 (servera pamata instalācija)

4592440

Drošības atjauninājums

Windows Server 2019

4592440

Drošības atjauninājums

Windows Server 2016 (servera pamata instalācija)

4593226

Drošības atjauninājums

Windows Server 2016

4593226

Drošības atjauninājums

Windows Server 2012 R2 (servera pamata instalācija)

4592484

Mēneša apkopojums

4592495

Tikai drošība

Windows Server 2012 R2

4592484

Mēneša apkopojums

4592495

Tikai drošība

Windows Server 2012 (servera pamata instalācija)

4592468

Mēneša apkopojums

4592497

Tikai drošība

Windows Server 2012

4592468

Mēneša apkopojums

4592497

Tikai drošība

Windows Server 2008 R2 1. servisa pakotne

4592471

Mēneša apkopojums

4592503

Tikai drošība

Windows Server 2008 2. servisa pakotne

4592498

Mēneša apkopojums

4592504

Tikai drošība

2. darbība. iespējot izpildes režīmu

Pēc tam, kad visas ierīces, kuras vieso Active Directory domēna kontrollera lomu, ir atjauninātas, uzgaidiet vismaz pilnas dienas laikā, lai nodrošinātu, ka visi nenomaksātie pakalpojumi lietotājam (S4U2self) Kerberos pakalpojuma biļetēm beigsies derīguma termiņš. Pēc tam iespējojiet pilno aizsardzību, izvietojot izpildes režīmu. Lai to izdarītu, iespējojiet reģistra atslēgu Enforcement mode.

Brīdinājums Ja reģistrs tiek nepareizi modificēts, izmantojot reģistra redaktoru vai citu metodi, var rasties nopietnas problēmas. Šīm problēmām var būt nepieciešams atkārtoti instalēt operētājsistēmu. Microsoft nevar garantēt, ka šīs problēmas var novērst. Modificējiet reģistru ar savu risku.

Piezīme. Šī reģistra vērtība nav izveidota, instalējot šo atjauninājumu. Šī reģistra vērtība ir jāpievieno manuāli.

Reģistra apakšatslēga

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Vērtību

NonForwardableDelegation

Datu tips

REG_DWORD

Datu

1. atspējo izpildes režīmu.  

0: iespējo izpildes režīmu. Šis ir aizsargātais stāvoklis.

Noklusējuma

1

Vai ir nepieciešama restartēšana?


Piezīmes par reģistra vērtību "NonForwardableDelegation":

  • Ja reģistra vērtība ir iestatīta, tā dominēs pār izpildes režīma iestatījumu, kas ir iekļauts 9. martā, 2021 Windows atjauninājumi.

    • Ja reģistra vērtība ir iestatīta uz 1 (atspējot), pārsūtīšana būs atļauta Kerberos pakalpojumu biļetēs, kas ir atzīmētas kā pārsūtītas.

    • Ja reģistra vērtība ir iestatīta uz 0 (iespējot), pāradresēšana nebūs atļauta Kerberos pakalpojumu biļetēs, kuras ir atzīmētas kā pāradresēti un izpildes režīms ir iespējots.

  • Ja jūsu domēnā ir iekļauts Windows Server 2008 R2 vai vecākas versijas Active Directory domēnu vadāmierīces, nav jāiestata izpildes režīms, jo šie domēnu kontrolleri neatbalsta RBCD.

  • Ja iespējojat piemērošanas režīmu, nekonsekventi atjaunināt visus Active Directory domēna kontrollerus, tiek izraisītas neregulāras pakalpojumu deleģēšanas kļūmes.

  • Pirms izpildes režīma iestatīšanas:

    • Visi Active Directory domēna kontrolleri ir jāatjaunina, izmantojot 8. decembri, 2020 Windows Update vai jaunāku Windows atjauninājumu, un

    • Visām neatrisinātajām S4USelf Kerberos pakalpojuma biļetēm ir jābūt nokavētām, uzgaidot vienu dienu pēc Windows Update izvietošanas pabeigšanas visiem Active Directory domēna kontrolleriem.

Papildu apsvērumi

Ja šī aizsardzība ir iespējota, tā apvieno Resource-Based ierobežotu deleģēšanu (RBCD) ar oriģinālu ierobežotu deleģēšanu. Tas var izraisīt problēmas divos tālāk norādītajos gadījumos.

  • Viens pakalpojums vienlaikus izmanto oriģinālo Kerberos ierobežotu deleģēšanu (KCD) bez protokola pārejas uz vienu mērķi, kamēr tas izmanto RBCD ar protokola pāreju uz citu. Pēc šīs izmaiņas protokola pārejas noliegšana attiecas uz abiem deleģēšanas stiliem.

  • RBCD tiek izmantots domēnā, kas izmanto domēnu kontrollerus, kas netiek atjaunināti, izmantojot CVE-2020-16996 vai vecākas Windows Server versijas (vecākas par Window Server 2012), kurām nav pieejams atjauninājums CVE-2020-16996. Atslēgu sadales centri (KDCs), kas nav atjaunināti, neatzīmēs S4USelf Kerberos pakalpojumu biļetes, kā labi deleģēšanai un protokola pārejai tiks liegta.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar tulkojuma kvalitāti?

Kas ietekmēja jūsu pieredzi?

Vai vēlaties sniegt papildu atsauksmes? (Neobligāti)

Paldies par jūsu atsauksmēm!

×