Viktig!: Utgivelsesdatoene som tidligere er angitt i denne artikkelen, er endret. Vær oppmerksom på de nye utgivelsesdatoene under «Handling» og «Tidsberegning av disse Windows-oppdateringene».
Sammendrag
Det finnes et sikkerhetsproblem som omgår et sikkerhetsproblem ved hjelp av nøkkeldistribusjonssenteret (KDC), som fastslår om en Kerberos-tjenesteforespørsel kan brukes til delegering via KCD (Kerberos Constrained Delegation). Hvis du vil utnytte sikkerhetsproblemet, kan en kompromittert tjeneste som er konfigurert til å bruke KCD, tukle med en Kerberos-tjenesteforespørsel som ikke er gyldig for delegering for å tvinge KDC til å godta den. Disse Windows-oppdateringene løser dette sikkerhetsproblemet ved å endre hvordan KDC validerer Kerberos-tjenestebilletter som brukes med KCD.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se TORB-2020-17049.
Ta handling Hvis du vil beskytte miljøet og forhindre avbrudd, må du følge alle disse trinnene:
|
Tidsberegning for disse Windows-oppdateringene
Disse Windows-oppdateringene blir utgitt i tre faser:
-
Den første distribusjonsfasen for Windows-oppdateringer som ble utgitt 8. desember 2020.
-
En annen distribusjonsfase som fjerner PerformTicketSignature-innstilling0 og krever enten innstilling 1 eller 2,på eller etter 13. april 2021.
-
Håndhevelsesfasen for Windows-oppdateringer som ble utgitt 13. juli 2021.
8. desember 2020: Første distribusjonsfase
Den første distribusjonsfasen starter med Windows-oppdateringen som ble utgitt 8. desember 2020, og fortsetter med en senere Windows-oppdatering for håndhevelsesfasen. Disse og nyere Windows-oppdateringer gjør endringer i Kerberos. Denne oppdateringen fra 8. desember 2020 inneholder løsninger for alle kjente problemer som opprinnelig ble introdusert i utgivelsen 10. november 2020 av BESTEM-2020-17049. Denne oppdateringen gir også støtte for Windows Server 2008 SP2 og Windows Server 2008 R2.
Denne versjonen:
-
Adresser SOM BRUKES SOM STANDARD: 2020-17049 (i distribusjonsmodus som standard).
-
Legger til støtte for registerverdien PerformTicketSignature for å aktivere beskyttelse på Active Directory-domenekontrollerservere. Som standard finnes ikke denne verdien.
Reduksjon består av installasjonen av Windows-oppdateringer på alle enheter som er vert for Active Directory-domenekontrollerrollen og skrivebeskyttede domenekontrollere (IRB), og deretter aktiverer håndhevelsesmodus.
13. april 2021:andre distribusjonsfase
Den andre distribusjonsfasen starter med Windows-oppdateringen som ble utgitt 13. april 2021. Denne fasen fjerner innstillingen 0for PerformTicketSignature. Hvis du angir PerformTicketSignature til 0 etter at denne oppdateringen er installert, får den samme effekten som å angi PerformTicketSignature til 1. Pc-ene er i distribusjonsmodus.
Merknader
-
Denne fasen er ikke nødvendig hvis PerformTicketSignature aldri ble satt til 0 i miljøet. Denne fasen bidrar til å sikre at kunder som angir PerformTicketSignaturetil 0, flyttes til å angi 1 før håndhevelsesfasen.
-
Med distribusjonen av oppdateringene fra 13. april 2021 kan du angi PerformTicketSignature til 1 for å gjøre det mulig å fornye servicebilletter. Dette er en endring i virkemåten fra Windows-oppdateringer før april 2021 når du setter PerformTicketSignature til 1, noe som førte til at tjenestebilletter ikke kan fornyes.
-
Denne oppdateringen forutsetter at alle domenekontrollere oppdateres med oppdateringene fra 8. desember 2020 eller nyere.
-
Når du har installert denne oppdateringen og angitt PerformTicketSignature til 1 eller høyere manuelt eller programmatisk, fungerer ikke lenger Windows Server-domenekontrollere som ikke støttes, med støttede domenekontrollere. Dette omfatter Windows Server 2008 og Windows Server 2008 R2 uten utvidede sikkerhetsoppdateringer (ESU) og Windows Server 2003.
13. juli 2021:Håndhevelsesfase
Utgivelsen 13. juli 2021 går over til håndhevelsesfasen. Håndhevelsesfasen håndhever endringene i TORB-2020-17049. Active Directory-domenekontrollere kan nå håndhevelsesmodus. Hvis du går til håndhevelsesmodus, kreves det at alle Active Directory-domenekontrollere har oppdateringen fra 8. desember 2020 eller en nyere windows-oppdatering installert. Foreløpig vil innstillingene for PerformTicketSignature-registernøkkelen bli ignorert og håndhevelsesmodus kan ikke overstyres.
Installasjonsveiledning
Før du installerer denne oppdateringen
Du må ha følgende nødvendige oppdateringer installert før du kan bruke denne oppdateringen. Hvis du bruker Windows Update, tilbys disse nødvendige oppdateringene automatisk etter behov.
-
Du må ha SHA-2-oppdateringen(KB4474419)som er datert 23. september 2019 eller en nyere SHA-2-oppdatering installert, og deretter starte enheten på nytt før du bruker denne oppdateringen. Hvis du vil ha mer informasjon om SHA-2-oppdateringer, kan du se 2019 SHA-2 Code Signing Support-kravet for Windows og WSUS.
-
For Windows Server 2008 R2 SP1 må du ha installert SSU (Servicing Stack Update)(KB4490628)som er datert 12. mars 2019. Når du har oppdatert KB4490628, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om den nyeste SSU-oppdateringen, kan du se ADV990001 | De nyeste oppdateringene for vedlikeholdsstakken.
-
For Windows Server 2008 SP2 må du ha installert SSU (Servicing Stack Update)(KB4493730)som er datert 9. april 2019. Når du har oppdatert KB4493730, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om de nyeste SSU-oppdateringene, kan du se ADV990001 | De nyeste oppdateringene for vedlikeholdsstakken.
-
Kunder må kjøpe utvidet sikkerhetsoppdatering (ESU) for lokale versjoner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 etter at utvidet støtte ble avsluttet 14. januar 2020. Kunder som har kjøpt ESU, må følge fremgangsmåten i KB4522133 for å fortsette å motta sikkerhetsoppdateringer. Hvis du vil ha mer informasjon om ESU og hvilke versjoner som støttes, kan du se KB4497181.
ViktigDu må starte enheten på nytt etter at du har installert disse nødvendige oppdateringene.
Installere alle oppdateringer
Hvis du vil løse sikkerhetsproblemet, må du installere alle Windows-oppdateringer og aktivere håndhevelsesmodus ved å følge disse trinnene:
-
Distribuer minst én av oppdateringene fra 8. desember 2020 og 9. mars 2021 til alle Active Directory-domenekontrollere i skogen.
-
Distribuer oppdateringen fra 12. april 2021 minst én eller flere uker etter trinn 1.
-
Når alle Active Directory-domenekontrollere har blitt oppdatert, må du vente minst en hel uke for å tillate at alle utestående tjenester for bruker selv (S4U2self) Kerberos-tjenestebilletter utløper, og deretter kan full beskyttelse aktiveres ved å distribuere aktiver modus for håndhevelse av Active Directory-domenekontroller.
Merknader-
Hvis du har endret utløpstidene for Kerberos-tjenesteforespørselen fra standardinnstillingene (standard er 7 dager), må du vente minst antall dager slik det er konfigurert i miljøet.
-
Disse trinnene forutsetter at PerformTicketSignature aldri har blitt satt til 0 i miljøet ditt. Hvis PerformTicketSignature er satt til 0,må du gå til innstillingen 1 før du går til innstilling 2 (håndhevelsesmodus), og vente minst en uke slik at alle utestående tjenester for brukeren kan selv (S4U2self) Kerberos-tjenestebilletter utløpe. Du bør ikke gå direkte fra å angi 0 til 2 (håndhevelsesmodus).
-
Trinn 1: Installere Windows-oppdateringer
Installer riktig Windows-oppdatering 8. desember 2020 eller en nyere Windows-oppdatering for alle enheter som er vert for Active Directory-domenekontrollerrollen i skogen, inkludert skrivebeskyttede domenekontrollere.
Windows Server-produkt |
KB # |
Type oppdatering |
Windows Server, versjon 20H2 (server kjerneinstallasjon) |
Sikkerhetsoppdatering |
|
Windows Server, versjon 2004 (Server Core-installasjon) |
Sikkerhetsoppdatering |
|
Windows Server, versjon 1909 (Server Core-installasjon) |
Sikkerhetsoppdatering |
|
Windows Server, versjon 1903 (Server Core-installasjon) |
Sikkerhetsoppdatering |
|
Windows Server 2019 (Server Core-installasjon) |
Sikkerhetsoppdatering |
|
Windows Server 2019 |
Sikkerhetsoppdatering |
|
Windows Server 2016 (Server Core-installasjon) |
Sikkerhetsoppdatering |
|
Windows Server 2016 |
Sikkerhetsoppdatering |
|
Windows Server 2012 R2 (Server Core-installasjon) |
Månedlig samleoppdatering |
|
Bare sikkerhet |
||
Windows Server 2012 R2 |
Månedlig samleoppdatering |
|
Bare sikkerhet |
||
Windows Server 2012 (Server Core-installasjon) |
Månedlig samleoppdatering |
|
Bare sikkerhet |
||
Windows Server 2012 |
Månedlig samleoppdatering |
|
Bare sikkerhet |
||
Windows Server 2008 R2 Service Pack 1 |
Månedlig samleoppdatering |
|
Bare sikkerhet |
||
Windows Server 2008 Service Pack 2 |
Månedlig samleoppdatering |
|
Bare sikkerhet |
Trinn 2: Aktivere håndhevelsesmodus
Når alle enheter som er vert for Active Directory-domenekontrollerrollen, har blitt oppdatert, må du vente minst en hel uke for å tillate at alle utestående S4U2self Kerberos-tjenestebilletter utløper. Aktiver deretter full beskyttelse ved å distribuere håndhevelsesmodus. Dette gjør du ved å aktivere registernøkkelen for håndhevelsesmodus.
Advarsel Det kan oppstå alvorlige problemer hvis du endrer registeret feil ved å bruke Registerredigering eller en annen metode. Disse problemene kan føre til at du må installere operativsystemet på nytt. Microsoft kan ikke garantere at disse problemene kan løses. Du endrer registeret på eget ansvar.
Obs! Denne oppdateringen introduserer støtte for følgende registerverdi for å aktivere håndhevelsesmodus. Denne registerverdien opprettes ikke ved å installere denne oppdateringen. Du må legge til denne registerverdien manuelt.
Registerundernøkkel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Verdi |
PerformTicketSignature |
Datatype |
REG_DWORD |
Data |
1:Aktiverer distribusjonsmodus. Løsningen er aktivert på domenekontrolleren, men Active Directory-domenekontrolleren krever ikke at Kerberos-tjenestebilletter overholder løsningen. Denne modusen legger til støtte for billettsignaturer på DOMENEKONTROLLER-2020-17049 oppdaterte domenekontrollere, men domenekontrollerne krever ikke billetter til å bli signert. Dette gjør at en blanding av innledende distribusjonsfase (DCs oppdatert til den første distribusjonsoppdateringen for desember) og oppdaterte domenekontrollere kan brukes samtidig. Alle domenekontrollere er oppdatert, og på innstilling 1blir alle nye billetter signert. I denne modusen merkes nye billetter som kan fornyes. 2:Aktiverer håndhevelsesmodus Dette aktiverer løsningen i nødvendig modus der alle domener må oppdateres, og alle Active Directory-domenekontrollere krever Kerberos-tjenestebilletter med signaturer. Med denne innstillingen må alle billetter være logget på for å kunne anses som gyldige. I denne modusen blir billetter igjen merket som fornybare. 0:Anbefales ikke. Deaktiverer signaturer for Kerberos-tjenestebilletter, og domenene er ikke beskyttet. Viktig: Innstilling 0 er ikke kompatibel med innstillingen 2. Uregelmessig godkjenningsfeil kan oppstå hvis håndhevelsesmodus brukes senere mens domenet er satt til 0. Vi anbefaler kunder å flytte til innstilling 1 før håndhevelsestrinnet (minst én uke før håndhevelse). |
Standard |
1 (når registernøkkelen ikke er angitt) |
Er en omstart nødvendig? |
Nei |