BELANGRIJK De datum voor de afdwingingsmodus zoals eerder in dit artikel is vermeld, is gewijzigd in 9 maart 2021. |
Samenvatting
Als u beveiligde gebruikers en RBCD (Beperkte delegatie op basis van resources) gebruikt, is er mogelijk een beveiligingsprobleem in Active Directory-domeincontrollers. Zie CVE-2020-16996voor meer informatie over het beveiligingsprobleem.
Actie ondernemen Als u uw omgeving wilt beschermen en uitval wilt voorkomen, moet u het volgende doen:
|
Tijdsinstellingen voor updates
Deze Windows updates worden in twee fasen uitgebracht:
-
De eerste implementatiefase voor Windows updates die zijn uitgebracht op of na 8 december 2020.
-
De handhavingsfase voor Windows updates die zijn uitgebracht op of na 9 maart 2021.
8 december 2020: Eerste implementatiefase
De eerste implementatiefase begint met de Windows update die is uitgebracht op 8 december 2020 en wordt voortgezet met een latere update Windows voor de fase Handhaving. Deze en latere Windows wijzigingen aanbrengen in Kerberos.
Deze release:
-
Adressen CVE-2020-16996 (standaard uitgeschakeld).
-
Hiermee wordt ondersteuning toegevoegd voor de registerwaarde Niet-forwardableDelegation om de beveiliging op Active Directory-domeincontrollerservers in te stellen. Standaard bestaat de waarde niet.
Beperking bestaat uit de installatie van de Windows-updates op alle apparaten die de rol van de Active Directory-domeincontroller en alleen-lezen domeincontrollers (RODC's) hosten en vervolgens de afdwingingsmodus inschakelen.
9 maart 2021: Fase van handhaving
De release van 9 maart 2021 gaat over naar de uitvoeringsfase. In de handhavingsfase worden de wijzigingen afgedwongen voor cve-2020-16996. Active Directory-domeincontrollers staan nu in de modus Afdwingen, tenzij de registersleutel voor de afdwingingsmodus is ingesteld op 1 (uitgeschakeld). Als de registersleutel handhavingsmodus is ingesteld, wordt de instelling geëerd. Als u naar de modus Afdwingen gaat, moeten alle Active Directory-domeincontrollers de update van 8 december 2020 of een latere update hebben geïnstalleerd.
Installatie-richtlijnen
Voordat u deze update installeert
U moet de volgende vereiste updates hebben geïnstalleerd voordat u deze update kunt toepassen. Als u Windows Update gebruikt, worden deze vereiste updates zo nodig automatisch aangeboden.
-
U moet de SHA-2-update(KB4474419)van 23 september 2019 of een latere SHA-2-update hebben geïnstalleerd en vervolgens uw apparaat opnieuw opstarten voordat u deze update gaat toepassen. Zie 2019 SHA-2 Code Signing Support requirement for Windows en WSUS voormeer informatie over SHA-2-updates.
-
Voor Windows Server 2008 R2 SP1 moet u de update voor de servicestack (SSU)(KB4490628)van 12 maart 2019 hebben geïnstalleerd. Nadat de update KB4490628 is geïnstalleerd, raden we u aan de nieuwste SSU-update te installeren. Zie ADV990001 voor meer informatie over de meest recente SSU-update | Meest recente updates voor onderhoudsstapels.
-
Voor Windows Server 2008 SP2 moet u de update voor de servicestack(SSU) (KB4493730)van 9 april 2019 hebben geïnstalleerd. Nadat update KB4493730 is geïnstalleerd, raden we u aan de nieuwste SSU-update te installeren. Zie ADV990001 voor meer informatie over de meest recente SSU-updates | Meest recente updates voor onderhoudsstapels.
-
Klanten zijn verplicht om de Extended Security Update (ESU) te kopen voor on-premises versies van Windows Server 2008 SP2 of Windows Server 2008 R2 SP1 nadat de uitgebreide ondersteuning is beëindigd op 14 januari 2020. Klanten die de ESU hebben gekocht, moeten de procedures in KB4522133 volgen om beveiligingsupdates te blijven ontvangen. Zie KB4497181voor meer informatie over ESU en welke edities worden ondersteund.
BelangrijkU moet uw apparaat opnieuw opstarten nadat u deze vereiste updates hebt geïnstalleerd.
De update installeren
Als u het beveiligingsprobleem wilt oplossen, installeert u de Windows en schakelt u de afdwingingsmodus in door deze stappen uit te voeren.
Waarschuwing Er kunnen onregelmatige verificatieproblemen optreden als deze Windows worden bijgewerkt en de registerwaarde inconsistent wordt toegepast in een of beide van de volgende scenario's:
Belangrijk Zowel Windows updates als de registerwaarde moeten consistent worden toegepast op ALLE Active Directory-domeincontrollers in uw omgeving. |
Stap 1: De Windows installeren
Installeer de update van 8 december 2020 Windows of een latere Windows-update voor alle apparaten die de rol van de Active Directory-domeincontroller in het forest hosten, inclusief alleen-lezen domeincontrollers.
Windows Server-product |
KB # |
Type update |
Windows Server, versie 20H2 (Server Core Installation) |
Beveiligingsupdate |
|
Windows Server, versie 2004 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server, versie 1909 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server, versie 1903 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server 2019 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server 2019 |
Beveiligingsupdate |
|
Windows Server 2016 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server 2016 |
Beveiligingsupdate |
|
Windows Server 2012 R2 (Server Core-installatie) |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2012 R2 |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2012 (Server Core-installatie) |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2012 |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2008 R2 Service Pack 1 |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2008 Service Pack 2 |
Maandelijkse rollup |
|
Alleen beveiliging |
Stap 2: Afdwingingsmodus inschakelen
Nadat alle apparaten die de rol van active directory-domeincontroller hosten, zijn bijgewerkt, moet u ten minste een hele dag wachten om alle openstaande Service voor Gebruiker tot Zelf (S4U2self) Kerberos-servicetickets te laten verlopen. Schakel vervolgens volledige beveiliging in door de modus Afdwingen te implementeren. Schakel hiervoor de registersleutel handhavingsmodus in.
Waarschuwing Er kunnen ernstige problemen optreden als u het register onjuist wijzigt met behulp van registereditor of met een andere methode. Voor deze problemen moet u mogelijk het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Wijzig het register op eigen risico.
Opmerking Deze registerwaarde wordt niet gemaakt door deze update te installeren. U moet deze registerwaarde handmatig toevoegen.
Subsleutel Register |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Waarde |
NonForwardableDelegation |
Gegevenstype |
REG_DWORD |
Data |
1: De afdwingingsmodus wordt uitgeschakeld. 0: De afdwingingsmodus inschakelen. Dit is de beveiligde status. |
Standaard |
1 |
Is een herstart vereist? |
Nee |
Notities over de registerwaarde
"Niet-forwardableDelegation":
-
Als de registerwaarde is ingesteld, heeft deze voorrang op de instelling Handhavingsmodus die is opgenomen in de updates van 9 maart 2021 Windows updates.
-
Als de registerwaarde is ingesteld op 1 (Uitschakelen), is doorsturen toegestaan op Kerberos-servicetickets die NIET zijn gemarkeerd als doorgestuurd.
-
Als de registerwaarde is ingesteld op 0 (Inschakelen), is doorsturen NIET toegestaan op Kerberos-servicetickets die NIET zijn gemarkeerd als doorgestuurd.
-
-
Als uw domein Windows Server 2008 R2- of eerdere Active Directory-domeincontrollers bevat, hoeft u de afdwingingsmodus niet in te stellen omdat deze domeincontrollers RBCD niet ondersteunen.
-
Als alle Active Directory-domeincontrollers niet consistent worden bijgewerkt bij het inschakelen van de afdwingingsmodus, kunnen servicedelegeringsfouten optreden.
-
Voordat u de afdwingingsmodus instelt:
-
Alle Active Directory-domeincontrollers moeten worden bijgewerkt met de update van 8 december 2020 Windows of een latere update Windows, en
-
Alle openstaande S4USelf Kerberos-servicetickets moeten zijn verlopen door een dag na het voltooien van de implementatie van de Windows update voor alle Active Directory-domeincontrollers te wachten.
-
Aanvullende aandachtspunten
Wanneer deze beveiliging is ingeschakeld, wordt de logica voor het Resource-Based beperkte delegatie (RBCD) met de oorspronkelijke beperkte delegatie. Dit kan problemen veroorzaken in de twee volgende scenario's:
-
Eén service gebruikt tegelijk de oorspronkelijke Kerberos Beperkte delegatie (KCD) zonder protocolovergang naar het ene doel terwijl RBCD wordt gebruikt met de protocolovergang naar een ander doel. Na deze wijziging is de overgang van het protocol voor beide stijlen van delegering van toepassing.
-
RBCD wordt gebruikt in een domein dat domeincontrollers gebruikt die niet zijn bijgewerkt met CVE-2020-16996 of oudere versies van Windows Server (ouder dan Window Server 2012) die geen beschikbare update hebben voor CVE-2020-16996. De key distribution centers (KDC's) die niet worden bijgewerkt, geven geen vlag voor S4USelf Kerberos-servicetickets als goed voor de overdracht en protocolovergang wordt geweigerd.