WAŻNE Data trybu wymuszania wspomniano wcześniej w tym artykule, ale zmieniła się na 9 marca 2021 r. 

Podsumowanie

W przypadku korzystania z chronionych użytkowników i delegowania ograniczonego zasobów (RBCD, Resource-Based Constrained Delegation) może istnieć luka w zabezpieczeniach w kontrolerach domeny usługi Active Directory. Aby dowiedzieć się więcej o lukie w zabezpieczeniach, zobacz CVE-2020-16996.

Działanie

Aby chronić środowisko i zapobiec usterce, należy wykonać następujące czynności:

  1. Zaktualizuj wszystkie urządzenia hostując rolę kontrolera domeny usługi Active Directory, instalując aktualizację usługi Active Directory z 8 grudnia 2020 Windows lub późniejszą Windows aktualizując. Należy pamiętać, że zainstalowanie aktualizacji Windows nie w pełni ogranicza luki w zabezpieczeniach. Musisz wykonać krok 2.

  2. Włącz tryb wymusowania we wszystkich kontrolerach domeny usługi Active Directory. Począwszy od aktualizacji z 9 marca 2021 r., tryb wymusze można włączyć we wszystkich Windows domeny.

Chronometraż aktualizacji

Aktualizacje Windows zostaną wydane w dwóch fazach:

  • Faza wdrożenie wstępne dla aktualizacji Windows opublikowanych 8 grudnia 2020 r. lub później.

  • Faza wymuszania aktualizacji Windows opublikowanych 9 marca 2021 r. lub później.

8 grudnia 2020 r.: Etap wdrożenia początkowego

Faza wdrożenie wstępne rozpoczyna się wraz z aktualizacją Windows opublikowaną 8 grudnia 2020 r. i kontynuuje późniejszą aktualizację Windows dla fazy Wymusze. Te i nowsze aktualizacje Windows wprowadzić zmiany w kerberos.

Ta wersja:

  • Adresy CVE-2020-16996 (domyślnie wyłączone).

  • Dodaje obsługę wartości rejestru NonForwardableDelegation, aby włączyć ochronę na serwerach kontrolera domeny usługi Active Directory. Domyślnie ta wartość nie istnieje.

Środki zaradcze obejmują instalację aktualizacji Windows na wszystkich urządzeniach hostjących rolę kontrolera domeny usługi Active Directory i kontrolerów domen tylko do odczytu (RODCS), a następnie włączenie trybu wymuszenia.

9 marca 2021 r.: Faza wymuszania

Przejście wersji z 9 marca 2021 r. do fazy wymuszczenia. Faza wymuszania zmian wprowadzonych w adresie CVE-2020-16996. Kontrolery domeny usługi Active Directory będą teraz w trybie wymuszania, chyba że dla klucza rejestru w trybie wymusowania jest ustawiona wartość 1 (Wyłączone). Jeśli ustawiono klucz rejestru Tryb wymusze, to ustawienie będzie również honorowane. W trybie wymusowania wszyscy kontrolerzy domeny usługi Active Directory muszą zainstalować aktualizację z 8 grudnia 2020 r. lub nowszy.

Wskazówki dotyczące instalacji

Przed zainstalowaniem tej aktualizacji

Przed zastosowaniem tej aktualizacji należy zainstalować następujące wymagane aktualizacje. Jeśli będziesz używać Windows, te wymagane aktualizacje będą oferowane automatycznie w razie potrzeby.

  • Musisz mieć zainstalowaną aktualizację SHA-2(KB4474419)z datą 23 września 2019 r. lub późniejszą aktualizację SHA-2, a następnie uruchomić ponownie urządzenie przed zastosowaniem tej aktualizacji. Aby uzyskać więcej informacji na temat aktualizacji SHA-2, zobacz Wymaganie obsługi podpisywania kodu SHA-2 2dla programu Windows i programu WSUS.

  • W Windows Server 2008 R2 z dodatkiem SP1 należy zainstalować aktualizację stosu obsługi (SSU)(KB4490628)z datą 12 marca 2019 r. Po zainstalowaniu aktualizacji KB4490628 zalecamy zainstalowanie najnowszej aktualizacji SSU. Aby uzyskać więcej informacji na temat najnowszej aktualizacji SSU, zobacz adv990001 | Najnowsze aktualizacje stosu obsługi.

  • W Windows Server 2008 z dodatkiem SP2 musisz mieć zainstalowaną aktualizację stosu obsługi (SSU)(KB4493730)z datą 9 kwietnia 2019 r. Po zainstalowaniu aktualizacji KB4493730 zalecamy zainstalowanie najnowszej aktualizacji SSU. Aby uzyskać więcej informacji o najnowszych aktualizacjach SSU, zobacz adv990001 | Najnowsze aktualizacje stosu obsługi.

  • Klienci są zobowiązani do zakupu rozszerzonej aktualizacji zabezpieczeń (ESU) dla lokalnych wersji programu Windows Server 2008 z dodatkiem SP2 lub Windows Server 2008 R2 z dodatkiem SP1 po zakończeniu wsparcia rozszerzonego 14 stycznia 2020 r. Klienci, którzy kupili usługę ESU, muszą wykonać procedury z artykułu KB4522133, aby nadal otrzymywać aktualizacje zabezpieczeń. Aby uzyskać więcej informacji na temat programu ESU i obsługiwanych wersji, zobacz KB4497181.

WażnePo zainstalowaniu tych wymaganych aktualizacji należy ponownie uruchomić urządzenie.

Instalowanie aktualizacji

Aby rozwiązać problem z luką w zabezpieczeniach, zainstaluj aktualizacje Windows i włącz tryb wymusze, korzystając z poniższych kroków.

Ostrzeżenie Sporadyczne problemy z uwierzytelnianiem mogą wystąpić, Windows aktualizacje rejestru i wartość rejestru są stosowane niespójnie w jednym lub obu z następujących scenariuszy:

  • Aktualizacja z 8 grudnia 2020 r. Windows jest instalowana niespójnie w kontrolerach domeny usługi Active Directory, a wartość NonForwardableDelegation jest ustawiona na 0 niespójnie w tych kontrolerach domeny.

  • Aktualizacja usługi Windows z 9 marca 2021 r. jest instalowana niespójnie w kontrolerach domeny usługi Active Directory, które są niejawnie włączone przez zainstalowanie aktualizacji programu Windows z 8 grudnia 2020 r. we wszystkich kontrolerach domeny programu Windows Server 2008 R2 lub wcześniejszych w usłudze Active Directory znajdujących się w domenach wywołującej, pośredniej lub docelowej.

Ważne Zarówno Windows, jak i wartość rejestru, muszą być spójnie stosowane we WSZYSTKICH kontrolerach domeny usługi Active Directory w Twoim środowisku.


Krok 1. Instalowanie Windows aktualizacji

Zainstaluj aktualizację pakietu Windows z 8 grudnia 2020 r. lub późniejszą aktualizację usługi Windows na wszystkich urządzeniach, na których pełnisz rolę kontrolera domeny usługi Active Directory w lesie, w tym kontrolerów domeny tylko do odczytu.

Windows Server

KB #

Typ aktualizacji

Windows Server, wersja 20H2 (Server Core Installation)

4592438

Aktualizacja zabezpieczeń

Windows Server, wersja 2004 (instalacja server core)

4592438

Aktualizacja zabezpieczeń

Windows Server, wersja 1909 (instalacja server core)

4592449

Aktualizacja zabezpieczeń

Windows Server, wersja 1903 (instalacja server core)

4592449

Aktualizacja zabezpieczeń

Windows Server 2019 (instalacja server core)

4592440

Aktualizacja zabezpieczeń

Windows Server 2019

4592440

Aktualizacja zabezpieczeń

Windows Server 2016 (instalacja z podstawowymi elementami serwera)

4593226

Aktualizacja zabezpieczeń

Windows Server 2016

4593226

Aktualizacja zabezpieczeń

Windows Server 2012 R2 (instalacja programu Server Core)

4592484

Comiesięczny raport zbiorczy

4592495

Tylko zabezpieczenia

Windows Server 2012 R2

4592484

Comiesięczny raport zbiorczy

4592495

Tylko zabezpieczenia

Windows Server 2012 (instalacja z podstawowymi elementami serwera)

4592468

Comiesięczny raport zbiorczy

4592497

Tylko zabezpieczenia

Windows Server 2012

4592468

Comiesięczny raport zbiorczy

4592497

Tylko zabezpieczenia

Windows Server 2008 R2 z dodatkiem Service Pack 1

4592471

Comiesięczny raport zbiorczy

4592503

Tylko zabezpieczenia

Dodatek Service Pack 2 dla systemu Windows Server 2008

4592498

Comiesięczny raport zbiorczy

4592504

Tylko zabezpieczenia

Krok 2. Włączanie trybu wymuszania

Po zaktualizowaniu roli kontrolera domeny w usłudze Active Directory dla wszystkich urządzeń hostjących rolę kontrolera domeny poczekaj co najmniej cały dzień, aby wszystkie zaległe bilety usługi Kerberos dla użytkownika (S4U2self) dla siebie wygasły. Następnie włącz pełną ochronę, wdrażając tryb wymusania. W tym celu włącz klucz rejestru Tryb wymusowania.

Ostrzeżenie Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może spowodować poważne problemy. Te problemy mogą wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie można rozwiązać. Modyfikujesz rejestr na własną odpowiedzialność.

Uwaga 16. Ta wartość rejestru nie jest tworzona przez zainstalowanie tej aktualizacji. Tę wartość rejestru należy dodać ręcznie.

Podklucz rejestru

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Wartość

NonForwardableDelegation

Typ danych

REG_DWORD

Dane

1.Wyłącza tryb wymuszania.  

0:Włącza tryb wymuszania. To jest stan chroniony.

Domyślne

Czy jest wymagane ponowne uruchomienie?

Nie


Uwagi dotyczące wartości rejestru "NonForwardableDelegation":

  • Jeśli wartość rejestru jest ustawiona, będzie miała pierwszeństwo przed ustawieniem trybu wymusze, które jest zawarte w aktualizacjach z 9 marca 2021 Windows.

    • Jeśli dla wartości rejestru jest ustawiona wartość 1 (Wyłącz), przesyłanie dalej będzie dozwolone w przypadku biletów usługi Kerberos, które NIE są oznaczone jako przekazane dalej.

    • Jeśli wartość rejestru jest ustawiona na 0 (Włącz), przesyłanie dalej NIE jest dozwolone w przypadku biletów usługi Kerberos, KTÓRE NIE są oznaczone jako przekazane dalej.

  • Jeśli Domena obejmuje kontrolery domeny programu Windows Server 2008 R2 lub starszej wersji usługi Active Directory, nie musisz ustawiać trybu wymusowania, ponieważ kontrolery domen nie obsługują kontrolerów RBCD.

  • Niepowodzenie spójnej aktualizacji wszystkich kontrolerów domeny usługi Active Directory podczas włączania trybu wymusania spowoduje sporadyczne błędy delegowania usługi.

  • Przed ustawieniem trybu wymusowania:

    • Wszystkie kontrolery domeny usługi Active Directory muszą zostać zaktualizowane w aktualizacji z 8 grudnia 2020 Windows lub nowszej w Windows aktualizacji oraz

    • Wszystkie zaległe bilety usługi S4USelf Kerberos muszą wygasnąć, czekając dzień po ukończeniu wdrożenia aktualizacji Windows we wszystkich kontrolerach domeny usługi Active Directory.

Uwagi dodatkowe

Gdy ta ochrona jest włączona, ujednolicona jest logika delegowania ograniczonego usługi Resource-Based (RBCD) z oryginalną delegowaniem ograniczonym. Może to powodować problemy w dwóch następujących scenariuszach:

  • W jednej usłudze jest jednocześnie używane oryginalne delegowanie ograniczone Kerberos (KCD, Kerberos Constrained Delegation) bez przejścia protokołu do jednego obiektu docelowego, podczas gdy ta usługa używa protokołu RBCD z przejściem protokołu do innego. Po tej zmianie przejście odmowę protokołu będzie stosowane do obu stylów delegowania.

  • W domenie, która korzysta z kontrolerów domeny, które nie są zaktualizowane przy użyciu cve-2020-16996 lub starszych wersji programu Windows Server (starszych niż Windows Server 2012), które nie mają dostępnej aktualizacji dla cvE-2020-16996, są używane WBCD. Nieotrzymane kluczowe centra dystrybucyjne nie będą oznaczać biletów usługi S4USelf Kerberos jako oznaczanych delegowaniem i przejściem protokołu.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×