|
VIKTIG Datoen for håndhevelsesmodus som tidligere nevnt i denne artikkelen, er endret til 9. mars 2021. |
Sammendrag
Hvis du bruker beskyttede brukere og ressursbasert begrenset delegering (RBCD), kan det finnes et sikkerhetsproblem på Active Directory-domenekontrollere. Hvis du vil lære mer om sikkerhetsproblemet, kan du se CVE-2020-16996.
|
Handling Hvis du vil beskytte miljøet og forhindre avbrudd, må du gjøre følgende:
|
Tidsberegning for oppdateringer
Disse Windows vil bli utgitt i to faser:
-
Den første distribusjonsfasen for Windows utgitt 8. desember 2020.
-
Håndhevelsesfasen for Windows utgitt 9. mars 2021.
8. desember 2020: Første distribusjonsfase
Den første distribusjonsfasen starter med oppdateringen Windows utgitt 8. desember 2020, og fortsetter med en Windows oppdatering for håndhevelsesfasen. Disse og Windows gjør endringer i Kerberos.
Denne utgivelsen:
-
Adresser AV SIKKERHETSFEIL-2020-16996 (deaktivert som standard).
-
Legger til støtte for registerverdien NonForwardableDelegation for å aktivere beskyttelse på Active Directory-domenekontrollerservere. Verdien finnes som standard ikke.
Begrensning består av installasjonen av Windows-oppdateringene på alle enheter som er vert for Active Directory-domenekontrollerrollen og skrivebeskyttede domenekontrollere (RØDGLEDERE), og aktiverer deretter håndhevelsesmodus.
9. mars 2021: Håndhevelsesfasen
Utgivelsesfasen 9. mars 2021. Håndhevelsesfasen håndhever endringene for å håndtere CVE-2020-16996. Active Directory-domenekontrollere vil nå være i håndhevelsesmodus med mindre registernøkkelen for håndhevelsesmodus er satt til 1 (deaktivert). Hvis registernøkkelen for håndhevelsesmodus er angitt, innfris innstillingen. Å gå til håndhevelsesmodus krever at alle Active Directory-domenekontrollere har oppdateringen 8. desember 2020 eller en nyere oppdatering installert.
Installasjonsveiledning
Før du installerer denne oppdateringen
Du må ha følgende nødvendige oppdateringer installert før du installerer denne oppdateringen. Hvis du bruker Windows Update, tilbys disse nødvendige oppdateringene automatisk etter behov.
-
Du må ha SHA-2-oppdateringen (KB4474419)som er datert 23. september 2019 eller en nyere SHA-2-oppdatering installert, og start deretter enheten på nytt før du bruker denne oppdateringen. Hvis du vil ha mer informasjon om SHA-2-oppdateringer, kan du se 2019 SHA-2 Kravtil støtte for kodesignering for Windows og WSUS .
-
For Windows Server 2008 R2 SP1 må du ha installert vedlikeholdsstakken (SSU) (KB4490628)som er datert 12. mars 2019. Når oppdateringen KB4490628 er installert, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om den nyeste SSU-oppdateringen, kan du se ADV990001 | De nyeste vedlikeholdsstakkoppdateringene.
-
For Windows Server 2008 SP2 må du ha installert vedlikeholdsstakken (SSU) (KB4493730)som er datert 9. april 2019. Når oppdateringen KB4493730 er installert, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om de nyeste SSU-oppdateringene, kan du se ADV990001 | De nyeste vedlikeholdsstakkoppdateringene.
-
Kunder må kjøpe den utvidede sikkerhetsoppdateringen (ESU) for lokale versjoner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 etter at utvidet støtte ble avsluttet 14. januar 2020. Kunder som har kjøpt ESU, må følge fremgangsmåtene i KB4522133 for å fortsette å motta sikkerhetsoppdateringer. Hvis du vil ha mer informasjon om ESU og hvilke versjoner som støttes, kan du se KB4497181.
ViktigDu må starte enheten på nytt når du har installert disse nødvendige oppdateringene.
Installere oppdateringen
Hvis du vil løse sikkerhetsproblemet, installerer du Windows og aktiverer håndhevelsesmodus ved å følge disse trinnene.
|
Advarsel Uregelmessig godkjenningsproblemer kan oppstå hvis disse Windows oppdateringene og registerverdien brukes inkonsekvent i ett eller begge av følgende scenarier:
Viktig Både Windows oppdateringer og registerverdien må brukes konsekvent på ALLE Active Directory-domenekontrollere i miljøet. |
Trinn 1: Installere Windows oppdateringen
Installer oppdateringen 8. desember 2020 Windows eller en senere Windows-oppdatering til alle enheter som er vert for Active Directory-domenekontrollerrollen i skogen, inkludert skrivebeskyttede domenekontrollere.
|
Windows Server-produkt |
KB # |
Type oppdatering |
|
Windows Server, versjon 20H2 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
|
Windows Server, versjon 2004 (Server Core-installasjon) |
Sikkerhetsoppdatering |
|
|
Windows Server, versjon 1909 (Server Core-installasjon) |
Sikkerhetsoppdatering |
|
|
Windows Server, versjon 1903 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
|
Windows Server 2019 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
|
Windows Server 2019 |
Sikkerhetsoppdatering |
|
|
Windows Server 2016 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
|
Windows Server 2016 |
Sikkerhetsoppdatering |
|
|
Windows Server 2012 R2 (Server Core-installasjon) |
Månedlig beregnet verdi |
|
|
Bare sikkerhet |
||
|
Windows Server 2012 R2 |
Månedlig beregnet verdi |
|
|
Bare sikkerhet |
||
|
Windows Server 2012 (serverkjerneinstallasjon) |
Månedlig beregnet verdi |
|
|
Bare sikkerhet |
||
|
Windows Server 2012 |
Månedlig beregnet verdi |
|
|
Bare sikkerhet |
||
|
Windows Server 2008 R2 Service Pack 1 |
Månedlig beregnet verdi |
|
|
Bare sikkerhet |
||
|
Windows Server 2008 Service Pack 2 |
Månedlig beregnet verdi |
|
|
Bare sikkerhet |
Trinn 2: Aktivere håndhevelsesmodus
Når alle enheter som er vert for Active Directory-domenekontrollerrollen, har blitt oppdatert, må du vente minst en hel dag for å tillate at alle utestående servicer for bruker til selv (S4U2self) Kerberos-tjenestebilletter utløper. Aktiver deretter full beskyttelse ved å distribuere håndhevelsesmodus. Hvis du vil gjøre dette, aktiverer du registernøkkelen for håndhevelsesmodus.
Advarsel Det kan oppstå alvorlige problemer hvis du endrer registeret feil ved hjelp av Registerredigering eller en annen metode. Disse problemene kan kreve at du installerer operativsystemet på nytt. Microsoft kan ikke garantere at disse problemene kan løses. Endre registeret på eget ansvar.
Obs! Denne registerverdien opprettes ikke ved å installere denne oppdateringen. Du må legge til denne registerverdien manuelt.
|
Registerundernøkkel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Verdi |
NonForwardableDelegation |
|
Datatype |
REG_DWORD |
|
Data |
1:Deaktiverer håndhevelsesmodus. 0: Aktiverer håndhevelsesmodus. Dette er den beskyttede tilstanden. |
|
Standard |
1 |
|
Kreves en omstart? |
Nei |
Merknader om registerverdien
NonForwardableDelegation:
-
Hvis registerverdien er angitt, vil den ha forrang over innstillingen håndhevelsesmodus som er inkludert i oppdateringene 9. mars 2021 Windows.
-
Hvis registerverdien er satt til 1 (Deaktiver), tillates videresending på Kerberos-tjenestebilletter som IKKE er merket som videresendbare.
-
Hvis registerverdien er satt til 0 (Aktiver), tillates ikke videresending på Kerberos-tjenestebilletter som IKKE er merket som videresendbare.
-
-
Hvis domenet inkluderer Windows Server 2008 R2 eller tidligere Active Directory-domenekontrollere, trenger du ikke å angi håndhevelsesmodus fordi disse domenekontrollerne ikke støtter RBCD.
-
Hvis du ikke oppdaterer alle Active Directory-domenekontrollere konsekvent når du aktiverer håndhevelsesmodus, fører det til uregelmessig tjenestedelegasjonsfeil.
-
Før du angir håndhevelsesmodus:
-
Alle Active Directory-domenekontrollere må oppdateres med oppdateringen 8. desember 2020 Windows eller en Windows oppdatering, og
-
Alle utestående S4USelf Kerberos-tjenestebilletter må ha utløpt ved å vente en dag etter at du har fullført Windows oppdateringsdistribusjonen til alle Active Directory-domenekontrollere.
-
Flere hensyn
Når denne beskyttelsen er aktivert, forener den logikken for Resource-Based begrenset delegering (RBCD) med den opprinnelige begrensede delegeringen. Dette kan føre til problemer i de to følgende scenariene:
-
Én enkelt tjeneste bruker samtidig den opprinnelige Kerberos Constrained Delegation (KCD) uten protokollovergang til ett mål mens den bruker RBCD med protokollovergang til en annen. Etter denne endringen vil fornektelsen av protokollovergang gjelde for begge delegeringsstilene.
-
RBCD brukes i et domene som bruker domenekontrollere som ikke er oppdatert med CVE-2020-16996 eller kjører eldre versjoner av Windows Server (eldre enn Window Server 2012) som ikke har en tilgjengelig oppdatering for CVE-2020-16996. Nøkkeldistribusjonssentre (KDCer) som ikke oppdateres, flagger ikke S4USelf Kerberos-tjenestebilletter som greit for delegering og protokollovergang blir nektet.
