Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Viktig!: Utgivelsesdatoene som tidligere er angitt i denne artikkelen, er endret. Vær oppmerksom på de nye utgivelsesdatoene under «Handling» og «Tidsberegning av disse Windows-oppdateringene».

Sammendrag

Det finnes et sikkerhetsproblem som omgår et sikkerhetsproblem ved hjelp av nøkkeldistribusjonssenteret (KDC), som fastslår om en Kerberos-tjenesteforespørsel kan brukes til delegering via KCD (Kerberos Constrained Delegation). Hvis du vil utnytte sikkerhetsproblemet, kan en kompromittert tjeneste som er konfigurert til å bruke KCD, tukle med en Kerberos-tjenesteforespørsel som ikke er gyldig for delegering for å tvinge KDC til å godta den. Disse Windows-oppdateringene løser dette sikkerhetsproblemet ved å endre hvordan KDC validerer Kerberos-tjenestebilletter som brukes med KCD.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se TORB-2020-17049. 

Ta handling

Hvis du vil beskytte miljøet og forhindre avbrudd, må du følge alle disse trinnene:

  1. Oppdater alle enheter som er vert for Active Directory-domenekontrollerrollen, ved å installere minst én av Windows-oppdateringene mellom 8. desember 2020 og 9. mars 2021. Vær oppmerksom på at installasjon av Windows-oppdateringen ikke reduserer sikkerhetsproblemet fullt ut. Du må også utføre trinn 2 og 3.

  2. Oppdater alle enheter som er vert for Active Directory-domenekontrollerrollen, ved å installere Windows-oppdateringen 13. april 2021.

  3. Aktiver Håndhevelsesmodus på alle Active Directory-domenekontrollere.

  4. Fra og med oppdateringen 13. juli 2021 aktiveres håndhevelsesmodus på alle Windows-domenekontrollere.

Tidsberegning for disse Windows-oppdateringene

Disse Windows-oppdateringene blir utgitt i tre faser:

  • Den første distribusjonsfasen for Windows-oppdateringer som ble utgitt 8. desember 2020.

  • En annen distribusjonsfase som fjerner PerformTicketSignature-innstilling0 og krever enten innstilling 1 eller 2,på eller etter 13. april 2021.

  • Håndhevelsesfasen for Windows-oppdateringer som ble utgitt 13. juli 2021.

8. desember 2020: Første distribusjonsfase

Den første distribusjonsfasen starter med Windows-oppdateringen som ble utgitt 8. desember 2020, og fortsetter med en senere Windows-oppdatering for håndhevelsesfasen. Disse og nyere Windows-oppdateringer gjør endringer i Kerberos. Denne oppdateringen fra 8. desember 2020 inneholder løsninger for alle kjente problemer som opprinnelig ble introdusert i utgivelsen 10. november 2020 av BESTEM-2020-17049. Denne oppdateringen gir også støtte for Windows Server 2008 SP2 og Windows Server 2008 R2.

Denne versjonen:

  • Adresser SOM BRUKES SOM STANDARD: 2020-17049 (i distribusjonsmodus som standard).

  • Legger til støtte for registerverdien PerformTicketSignature for å aktivere beskyttelse på Active Directory-domenekontrollerservere. Som standard finnes ikke denne verdien.

Reduksjon består av installasjonen av Windows-oppdateringer på alle enheter som er vert for Active Directory-domenekontrollerrollen og skrivebeskyttede domenekontrollere (IRB), og deretter aktiverer håndhevelsesmodus.

13. april 2021:andre distribusjonsfase

Den andre distribusjonsfasen starter med Windows-oppdateringen som ble utgitt 13. april 2021. Denne fasen fjerner innstillingen 0for PerformTicketSignature. Hvis du angir PerformTicketSignature til 0 etter at denne oppdateringen er installert, får den samme effekten som å angi PerformTicketSignature til 1. Pc-ene er i distribusjonsmodus.

Merknader

  • Denne fasen er ikke nødvendig hvis PerformTicketSignature aldri ble satt til 0 i miljøet. Denne fasen bidrar til å sikre at kunder som angir PerformTicketSignaturetil 0, flyttes til å angi 1 før håndhevelsesfasen.

  • Med distribusjonen av oppdateringene fra 13. april 2021 kan du angi PerformTicketSignature til 1 for å gjøre det mulig å fornye servicebilletter. Dette er en endring i virkemåten fra Windows-oppdateringer før april 2021 når du setter PerformTicketSignature til 1, noe som førte til at tjenestebilletter ikke kan fornyes.

  • Denne oppdateringen forutsetter at alle domenekontrollere oppdateres med oppdateringene fra 8. desember 2020 eller nyere.

  • Når du har installert denne oppdateringen og angitt PerformTicketSignature til 1 eller høyere manuelt eller programmatisk, fungerer ikke lenger Windows Server-domenekontrollere som ikke støttes, med støttede domenekontrollere. Dette omfatter Windows Server 2008 og Windows Server 2008 R2 uten utvidede sikkerhetsoppdateringer (ESU) og Windows Server 2003.

13. juli 2021:Håndhevelsesfase

Utgivelsen 13. juli 2021 går over til håndhevelsesfasen. Håndhevelsesfasen håndhever endringene i TORB-2020-17049. Active Directory-domenekontrollere kan nå håndhevelsesmodus. Hvis du går til håndhevelsesmodus, kreves det at alle Active Directory-domenekontrollere har oppdateringen fra 8. desember 2020 eller en nyere windows-oppdatering installert. Foreløpig vil innstillingene for PerformTicketSignature-registernøkkelen bli ignorert og håndhevelsesmodus kan ikke overstyres. 

Installasjonsveiledning

Før du installerer denne oppdateringen

Du må ha følgende nødvendige oppdateringer installert før du kan bruke denne oppdateringen. Hvis du bruker Windows Update, tilbys disse nødvendige oppdateringene automatisk etter behov.

ViktigDu må starte enheten på nytt etter at du har installert disse nødvendige oppdateringene.

Installere alle oppdateringer

Hvis du vil løse sikkerhetsproblemet, må du installere alle Windows-oppdateringer og aktivere håndhevelsesmodus ved å følge disse trinnene:

  1. Distribuer minst én av oppdateringene fra 8. desember 2020 og 9. mars 2021 til alle Active Directory-domenekontrollere i skogen.

  2. Distribuer oppdateringen fra 12. april 2021 minst én eller flere uker etter trinn 1.

  3. Når alle Active Directory-domenekontrollere har blitt oppdatert, må du vente minst en hel uke for å tillate at alle utestående tjenester for bruker selv (S4U2self) Kerberos-tjenestebilletter utløper, og deretter kan full beskyttelse aktiveres ved å distribuere aktiver modus for håndhevelse av Active Directory-domenekontroller.

    Merknader

    • Hvis du har endret utløpstidene for Kerberos-tjenesteforespørselen fra standardinnstillingene (standard er 7 dager), må du vente minst antall dager slik det er konfigurert i miljøet.

    • Disse trinnene forutsetter at PerformTicketSignature aldri har blitt satt til 0 i miljøet ditt. Hvis PerformTicketSignature er satt til 0,må du gå til innstillingen 1 før du går til innstilling 2 (håndhevelsesmodus), og vente minst en uke slik at alle utestående tjenester for brukeren kan selv (S4U2self) Kerberos-tjenestebilletter utløpe. Du bør ikke gå direkte fra å angi 0 til 2 (håndhevelsesmodus).


Trinn 1: Installere Windows-oppdateringer

Installer riktig Windows-oppdatering 8. desember 2020 eller en nyere Windows-oppdatering for alle enheter som er vert for Active Directory-domenekontrollerrollen i skogen, inkludert skrivebeskyttede domenekontrollere.

Windows Server-produkt

KB #

Type oppdatering

Windows Server, versjon 20H2 (server kjerneinstallasjon)

4592438

Sikkerhetsoppdatering

Windows Server, versjon 2004 (Server Core-installasjon)

4592438

Sikkerhetsoppdatering

Windows Server, versjon 1909 (Server Core-installasjon)

4592449

Sikkerhetsoppdatering

Windows Server, versjon 1903 (Server Core-installasjon)

4592449

Sikkerhetsoppdatering

Windows Server 2019 (Server Core-installasjon)

4592440

Sikkerhetsoppdatering

Windows Server 2019

4592440

Sikkerhetsoppdatering

Windows Server 2016 (Server Core-installasjon)

4593226

Sikkerhetsoppdatering

Windows Server 2016

4593226

Sikkerhetsoppdatering

Windows Server 2012 R2 (Server Core-installasjon)

4592484

Månedlig samleoppdatering

4592495

Bare sikkerhet

Windows Server 2012 R2

4592484

Månedlig samleoppdatering

4592495

Bare sikkerhet

Windows Server 2012 (Server Core-installasjon)

4592468

Månedlig samleoppdatering

4592497

Bare sikkerhet

Windows Server 2012

4592468

Månedlig samleoppdatering

4592497

Bare sikkerhet

Windows Server 2008 R2 Service Pack 1

4592471

Månedlig samleoppdatering

4592503

Bare sikkerhet

Windows Server 2008 Service Pack 2

4592498

Månedlig samleoppdatering

4592504

Bare sikkerhet

Trinn 2: Aktivere håndhevelsesmodus

Når alle enheter som er vert for Active Directory-domenekontrollerrollen, har blitt oppdatert, må du vente minst en hel uke for å tillate at alle utestående S4U2self Kerberos-tjenestebilletter utløper. Aktiver deretter full beskyttelse ved å distribuere håndhevelsesmodus. Dette gjør du ved å aktivere registernøkkelen for håndhevelsesmodus.

Advarsel Det kan oppstå alvorlige problemer hvis du endrer registeret feil ved å bruke Registerredigering eller en annen metode. Disse problemene kan føre til at du må installere operativsystemet på nytt. Microsoft kan ikke garantere at disse problemene kan løses. Du endrer registeret på eget ansvar.

Obs! Denne oppdateringen introduserer støtte for følgende registerverdi for å aktivere håndhevelsesmodus. Denne registerverdien opprettes ikke ved å installere denne oppdateringen. Du må legge til denne registerverdien manuelt.

Registerundernøkkel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Verdi

PerformTicketSignature

Datatype

REG_DWORD

Data

1:Aktiverer distribusjonsmodus. Løsningen er aktivert på domenekontrolleren, men Active Directory-domenekontrolleren krever ikke at Kerberos-tjenestebilletter overholder løsningen. Denne modusen legger til støtte for billettsignaturer på DOMENEKONTROLLER-2020-17049 oppdaterte domenekontrollere, men domenekontrollerne krever ikke billetter til å bli signert. Dette gjør at en blanding av innledende distribusjonsfase (DCs oppdatert til den første distribusjonsoppdateringen for desember) og oppdaterte domenekontrollere kan brukes samtidig. Alle domenekontrollere er oppdatert, og på innstilling 1blir alle nye billetter signert. I denne modusen merkes nye billetter som kan fornyes.

2:Aktiverer håndhevelsesmodus Dette aktiverer løsningen i nødvendig modus der alle domener må oppdateres, og alle Active Directory-domenekontrollere krever Kerberos-tjenestebilletter med signaturer. Med denne innstillingen må alle billetter være logget på for å kunne anses som gyldige. I denne modusen blir billetter igjen merket som fornybare.

0:Anbefales ikke. Deaktiverer signaturer for Kerberos-tjenestebilletter, og domenene er ikke beskyttet.

Viktig: Innstilling 0 er ikke kompatibel med innstillingen 2. Uregelmessig godkjenningsfeil kan oppstå hvis håndhevelsesmodus brukes senere mens domenet er satt til 0. Vi anbefaler kunder å flytte til innstilling 1 før håndhevelsestrinnet (minst én uke før håndhevelse).

Standard

1 (når registernøkkelen ikke er angitt)

Er en omstart nødvendig?

Nei
Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×