Belangrijk: De releasedatums die eerder in dit artikel werden beschreven, zijn gewijzigd. Let op de nieuwe releasedatums in de secties 'Actie ondernemen' en 'Timing van deze Windows-updates'.
Samenvatting
Een beveiligingsfunctie om een beveiligingsprobleem te omzeilen, is in de manier waarop het Sleuteldistributiecentrum (KDC) bepaalt of een Kerberos-serviceticket kan worden gebruikt voor delegatie via Kerberos-beperkte delegatie (KCD). Als u misbruik wilt maken van dit beveiligingsprobleem, zou een gekromde service die is geconfigureerd voor het gebruik van KCD, kunnen geknoeid met een Kerberos-serviceticket dat niet geldig is voor delegatie, zodat de KDC dit accepteert. In deze Windows-updates wordt dit beveiligingsprobleem opgelost door te wijzigen hoe de KDC Kerberos-servicetickets valideert die worden gebruikt met KCD.
Zie CVE-2020-17049voor meer informatie over dit beveiligingsprobleem.
Actie ondernemen Als u uw omgeving wilt beschermen en uitval wilt voorkomen, moet u al deze stappen volgen:
|
Timing van deze Windows-updates
Deze Windows-updates worden in drie fasen uitgebracht:
-
De eerste implementatiefase voor Windows-updates die zijn uitgebracht op of na 8 december 2020.
-
Een tweede implementatiefase, waarin de instelling PerformTicketSignature0 wordt verwijderd en die instelling 1 of 2vereist, op of na 13 april 2021.
-
De fase Afdwingen voor Windows-updates die zijn uitgebracht op of na 13 juli 2021.
8 december 2020: Eerste implementatiefase
De eerste implementatiefase begint met de Windows-update die is uitgebracht op 8 december 2020 en gaat verder met een latere Windows-update voor de fase Afdwingen. Deze en latere Windows-updates brengen wijzigingen aan in Kerberos. Deze update van 8 december 2020 bevat oplossingen voor alle bekende problemen die oorspronkelijk zijn geïntroduceerd door de release van CVE-2020-17049 van 10 november 2020. Deze update voegt ook ondersteuning toe voor Windows Server 2008 SP2 en Windows Server 2008 R2.
Deze release:
-
Adressen van CVE-2020-17049 (standaard in de implementatiemodus).
-
Hiermee wordt ondersteuning toegevoegd voor de registerwaarde PerformTicketSignature om beveiliging op servers met een Active Directory-domeincontroller in te stellen. Deze waarde bestaat standaard niet.
Risicobeperking bestaat uit de installatie van Windows-updates op alle apparaten waar de rol van de Active Directory-domeincontroller en ALLEEN-lezendomeincontrollers (PCCS) wordt host, en vervolgens wordt de afdwingingsmodus inschakelen.
13 april 2021: Tweede implementatiefase
De tweede implementatiefase begint met de Windows-update die is uitgebracht op 13 april 2021. In deze fase wordt de instelling PerformTicketSignature0 verwijderd. Het instellen van PerformTicketSignature op 0 nadat deze update is geïnstalleerd, heeft hetzelfde effect als het instellen van PerformTicketSignature op 1. De dc's staan in de implementatiemodus.
Opmerkingen
-
Deze fase is niet nodig als PerformTicketSignature nooit is ingesteld op 0 in uw omgeving. Deze fase zorgt ervoor dat klanten die PerformTicketSignature instellen op 0, worden verplaatst naar instelling 1 vóór de fase Afdwingen.
-
Met de implementatie van de updates van 13 april 2021 kunnen servicetickets in duurzamer worden als u PerformTicketSignature instelt op 1. Dit is een wijziging in het gedrag van vóór april 2021 Windows-updates bij het instellen van PerformTicketSignature op 1, waardoor servicetickets niet in duurzame staat worden gehouden.
-
In deze update wordt ervan uitgenomen dat alle domeincontrollers zijn bijgewerkt met de updates van 8 december 2020 of hoger.
-
Na de installatie van deze update en handmatig of programmatisch instellen van PerformTicketSignature op 1 of hoger werken niet-ondersteunde Windows Server-domeincontrollers niet meer met ondersteunde domeincontrollers. Dit geldt Windows Server 2008 en Windows Server 2008 R2 zonder Uitgebreide beveiligingsupdates (ESU) en Windows Server 2003.
13 juli 2021: Fase Afdwingen
De release van 13 juli 2021 wordt overgegaan naar de afdwingingsfase. In de fase Afdwingen worden de wijzigingen voor CVE-2020-17049 afgedwongen. Active Directory-domeincontrollers zijn nu geschikt voor de afdwingingsmodus. Als u de modus Afdwingen gaat gebruiken, moeten alle Active Directory-domeincontrollers de update van 8 december 2020 of een latere Windows-update hebben geïnstalleerd. Op dit moment worden de registersleutelinstellingen PerformTicketSignature genegeerd en kan de afdwingingsmodus niet worden overgeslagen.
Installatie-richtlijnen
Voordat u deze update installeert
U moet de volgende vereiste updates hebben geïnstalleerd voordat u deze update kunt toepassen. Als u Windows Update gebruikt, worden deze vereiste updates automatisch aangeboden.
-
U moet de SHA-2-update(KB4474419)van 23 september 2019 of een latere SHA-2-update hebben geïnstalleerd en vervolgens het apparaat opnieuw opstarten voordat u deze update installeert. Zie voor meer informatie over sha-2 updates 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.
-
Voor Windows Server 2008 R2 SP1 moet u de servicestackupdate (SSU)(KB4490628)van 12 maart 2019 hebben geïnstalleerd. Nadat de update KB4490628 is geïnstalleerd, raden we u aan de meest recente SSU-update te installeren. Zie adv990001-adv99001-| voor meer informatie over de meest recente SSU-update | Nieuwste servicestackupdates.
-
Voor Windows Server 2008 SP2 moet u de servicestackupdate (SSU)(KB4493730)van 9 april 2019 hebben geïnstalleerd. Nadat de update KB4493730 is geïnstalleerd, raden we u aan de meest recente SSU-update te installeren. Zie ADV990001 voor meer informatie over de meest recente SSU-updates | Nieuwste servicestackupdates.
-
Klanten moeten de Extended Security Update (ESU) kopen voor on-premises versies van Windows Server 2008 SP2 of Windows Server 2008 R2 SP1 nadat de uitgebreide ondersteuning op 14 januari 2020 is beëindigd. Klanten die de ESU hebben gekocht, moeten de procedures in KB4522133 volgen om beveiligingsupdates te kunnen blijven ontvangen. Zie KB4497181voor meer informatie over ESU en welke versies worden ondersteund.
BelangrijkU moet uw apparaat opnieuw opstarten nadat u deze vereiste updates hebt geïnstalleerd.
Alle updates installeren
U kunt dit beveiligingsprobleem oplossen door alle Windows-updates te installeren en de afdwingingsmodus in te schakelen door de volgende stappen uit te voeren:
-
Implementeer ten minste één van de updates tussen 8 december 2020 en 9 maart 2021 voor alle Active Directory-domeincontrollers in het forest.
-
Implementeer de update van 12 april 2021 ten minste één of meer weken na stap 1.
-
Nadat alle Active Directory-domeincontrollers zijn bijgewerkt, wacht u ten minste een week totdat alle openstaande Service voor Gebruiker zelf (S4U2 self) Kerberos-servicetickets zijn verlopen, waarna volledige beveiliging kan worden ingeschakeld door de modus Active Directory-domeincontroller afdwingen te implementeren.
Opmerkingen-
Als u de vervaldatum van het Kerberos-serviceticket hebt gewijzigd in de standaardinstellingen (standaard is dit 7 dagen), moet u ten minste het aantal dagen wachten zoals is geconfigureerd in uw omgeving.
-
Bij deze stappen wordt ervan uitgenomen dat PerformTicketSignature nooit is ingesteld op 0 in uw omgeving. Als PerformTicketSignature is ingesteld op 0,moet u overschakelen naar instelling 1 voordat u over gaat op instelling 2 (modus Afdwingen) en minimaal een week wachten totdat alle openstaande Service voor Gebruiker naar Zichzelf (S4U2 groot) Kerberos-servicetickets is verlopen. U moet niet rechtstreeks van instelling 0 naar instelling 2 gaan (afdwingingsmodus).
-
Stap 1: Windows-updates installeren
Installeer de juiste Windows-update van 8 december 2020 of een latere Windows-update voor alle apparaten die als host voor de rol van de Active Directory-domeincontroller in het forest worden gebruikt, inclusief alleen-lezen domeincontrollers.
Windows Server-product |
KB # |
Type update |
Windows Server, versie 20H2 (kerninstallatie van server) |
Beveiligingsupdate |
|
Windows Server, versie 2004 (installatie van Server Core) |
Beveiligingsupdate |
|
Windows Server, versie 1909 (installatie van Server Core) |
Beveiligingsupdate |
|
Windows Server, versie 1903 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server 2019 (installatie van Server Core) |
Beveiligingsupdate |
|
Windows Server 2019 |
Beveiligingsupdate |
|
Windows Server 2016 (installatie van Server Core) |
Beveiligingsupdate |
|
Windows Server 2016 |
Beveiligingsupdate |
|
Windows Server 2012 R2 (installatie van Server Core) |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2012 R2 |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2012 (installatie van Server Core) |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2012 |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2008 R2 Service Pack 1 |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2008 Service Pack 2 |
Maandelijkse rollup |
|
Alleen beveiliging |
Stap 2: Afdwingingsmodus inschakelen
Nadat alle apparaten die als host voor de Active Directory-domeincontroller werken, zijn bijgewerkt, wacht u ten minste een hele week om alle openstaande S4U2s Kerberos-servicetickets te laten verlopen. Schakel vervolgens volledige beveiliging in door de afdwingingsmodus te implementeren. Hiervoor moet u de registersleutel Afdwingen inschakelen.
Waarschuwing Er treden mogelijk ernstige problemen op als u het register onjuist wijzigt via de Register-editor of een andere methode. Bij deze problemen moet u mogelijk het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Wijzig het register op eigen risico.
Opmerking Deze update introduceert ondersteuning voor de volgende registerwaarde om de afdwingingsmodus in te schakelen. Deze registerwaarde wordt niet gemaakt door deze update te installeren. U moet deze registerwaarde handmatig toevoegen.
Registersubsleutel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Waarde |
PerformTicketSignature |
Gegevenstype |
REG_DWORD |
Data |
1:Schakelt de implementatiemodus in. De oplossing is ingeschakeld op de domeincontroller, maar voor de Active Directory-domeincontroller hoeft Kerberos-servicetickets niet te voldoen aan de oplossing. In deze modus wordt ondersteuning toegevoegd voor tickethandtekeningen op bijgewerkte domeincontrollers voor CVE-2020-17049, maar voor de domeincontrollers zijn geen tickets vereist. Hierdoor kan een combinatie worden gemaakt van initiële implementatiefasen (DCS's die zijn bijgewerkt naar de eerste implementatie-update van december) en bijgewerkte domeincontrollers om naast elkaar te worden gebruikt. Wanneer alle domeincontrollers zijn bijgewerkt en instelling 1 is,worden alle nieuwe tickets ondertekend. In deze modus worden nieuwe tickets gemarkeerd als in duurzame modus. 2:Schakelt de afdwingingsmodus in. Hierdoor wordt de oplossing in de vereiste modus mogelijk, waarbij alle domeinen moeten worden bijgewerkt en voor alle Active Directory-domeincontrollers Kerberos-servicetickets met handtekeningen zijn vereist. Met deze instelling moeten alle tickets zijn ondertekend om als geldig te worden beschouwd. In deze modus worden tickets opnieuw gemarkeerd als in duurzame modus. 0: Niet aanbevolen. Hiermee worden handtekeningen van Kerberos-servicetickets uitgeschakeld en zijn uw domeinen niet beveiligd. Belangrijk: Instelling 0 is niet compatibel met afdwingen instelling 2. Onregelmatige verificatiefouten kunnen optreden als de afdwingingsmodus later wordt toegepast terwijl het domein is ingesteld op 0. Klanten wordt aangeraden vóór het afdwingen over te gaan op instelling 1 (ten minste een week voordat de handhaving wordt toegepast). |
Standaard |
1 (als de registersleutel niet is ingesteld) |
Is opnieuw opstarten vereist? |
Nee |