|
WAŻNE Data trybu wymuszania wspomniano wcześniej w tym artykule, ale zmieniła się na 9 marca 2021 r. |
Podsumowanie
W przypadku korzystania z chronionych użytkowników i delegowania ograniczonego zasobów (RBCD, Resource-Based Constrained Delegation) może istnieć luka w zabezpieczeniach w kontrolerach domeny usługi Active Directory. Aby dowiedzieć się więcej o lukie w zabezpieczeniach, zobacz CVE-2020-16996.
|
Działanie Aby chronić środowisko i zapobiec usterce, należy wykonać następujące czynności:
|
Chronometraż aktualizacji
Aktualizacje Windows zostaną wydane w dwóch fazach:
-
Faza wdrożenie wstępne dla aktualizacji Windows opublikowanych 8 grudnia 2020 r. lub później.
-
Faza wymuszania aktualizacji Windows opublikowanych 9 marca 2021 r. lub później.
8 grudnia 2020 r.: Etap wdrożenia początkowego
Faza wdrożenie wstępne rozpoczyna się wraz z aktualizacją Windows opublikowaną 8 grudnia 2020 r. i kontynuuje późniejszą aktualizację Windows dla fazy Wymusze. Te i nowsze aktualizacje Windows wprowadzić zmiany w kerberos.
Ta wersja:
-
Adresy CVE-2020-16996 (domyślnie wyłączone).
-
Dodaje obsługę wartości rejestru NonForwardableDelegation, aby włączyć ochronę na serwerach kontrolera domeny usługi Active Directory. Domyślnie ta wartość nie istnieje.
Środki zaradcze obejmują instalację aktualizacji Windows na wszystkich urządzeniach hostjących rolę kontrolera domeny usługi Active Directory i kontrolerów domen tylko do odczytu (RODCS), a następnie włączenie trybu wymuszenia.
9 marca 2021 r.: Faza wymuszania
Przejście wersji z 9 marca 2021 r. do fazy wymuszczenia. Faza wymuszania zmian wprowadzonych w adresie CVE-2020-16996. Kontrolery domeny usługi Active Directory będą teraz w trybie wymuszania, chyba że dla klucza rejestru w trybie wymusowania jest ustawiona wartość 1 (Wyłączone). Jeśli ustawiono klucz rejestru Tryb wymusze, to ustawienie będzie również honorowane. W trybie wymusowania wszyscy kontrolerzy domeny usługi Active Directory muszą zainstalować aktualizację z 8 grudnia 2020 r. lub nowszy.
Wskazówki dotyczące instalacji
Przed zainstalowaniem tej aktualizacji
Przed zastosowaniem tej aktualizacji należy zainstalować następujące wymagane aktualizacje. Jeśli będziesz używać Windows, te wymagane aktualizacje będą oferowane automatycznie w razie potrzeby.
-
Musisz mieć zainstalowaną aktualizację SHA-2(KB4474419)z datą 23 września 2019 r. lub późniejszą aktualizację SHA-2, a następnie uruchomić ponownie urządzenie przed zastosowaniem tej aktualizacji. Aby uzyskać więcej informacji na temat aktualizacji SHA-2, zobacz Wymaganie obsługi podpisywania kodu SHA-2 2dla programu Windows i programu WSUS.
-
W Windows Server 2008 R2 z dodatkiem SP1 należy zainstalować aktualizację stosu obsługi (SSU)(KB4490628)z datą 12 marca 2019 r. Po zainstalowaniu aktualizacji KB4490628 zalecamy zainstalowanie najnowszej aktualizacji SSU. Aby uzyskać więcej informacji na temat najnowszej aktualizacji SSU, zobacz adv990001 | Najnowsze aktualizacje stosu obsługi.
-
W Windows Server 2008 z dodatkiem SP2 musisz mieć zainstalowaną aktualizację stosu obsługi (SSU)(KB4493730)z datą 9 kwietnia 2019 r. Po zainstalowaniu aktualizacji KB4493730 zalecamy zainstalowanie najnowszej aktualizacji SSU. Aby uzyskać więcej informacji o najnowszych aktualizacjach SSU, zobacz adv990001 | Najnowsze aktualizacje stosu obsługi.
-
Klienci są zobowiązani do zakupu rozszerzonej aktualizacji zabezpieczeń (ESU) dla lokalnych wersji programu Windows Server 2008 z dodatkiem SP2 lub Windows Server 2008 R2 z dodatkiem SP1 po zakończeniu wsparcia rozszerzonego 14 stycznia 2020 r. Klienci, którzy kupili usługę ESU, muszą wykonać procedury z artykułu KB4522133, aby nadal otrzymywać aktualizacje zabezpieczeń. Aby uzyskać więcej informacji na temat programu ESU i obsługiwanych wersji, zobacz KB4497181.
WażnePo zainstalowaniu tych wymaganych aktualizacji należy ponownie uruchomić urządzenie.
Instalowanie aktualizacji
Aby rozwiązać problem z luką w zabezpieczeniach, zainstaluj aktualizacje Windows i włącz tryb wymusze, korzystając z poniższych kroków.
|
Ostrzeżenie Sporadyczne problemy z uwierzytelnianiem mogą wystąpić, Windows aktualizacje rejestru i wartość rejestru są stosowane niespójnie w jednym lub obu z następujących scenariuszy:
Ważne Zarówno Windows, jak i wartość rejestru, muszą być spójnie stosowane we WSZYSTKICH kontrolerach domeny usługi Active Directory w Twoim środowisku. |
Krok 1. Instalowanie Windows aktualizacji
Zainstaluj aktualizację pakietu Windows z 8 grudnia 2020 r. lub późniejszą aktualizację usługi Windows na wszystkich urządzeniach, na których pełnisz rolę kontrolera domeny usługi Active Directory w lesie, w tym kontrolerów domeny tylko do odczytu.
|
Windows Server |
KB # |
Typ aktualizacji |
|
Windows Server, wersja 20H2 (Server Core Installation) |
Aktualizacja zabezpieczeń |
|
|
Windows Server, wersja 2004 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
|
Windows Server, wersja 1909 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
|
Windows Server, wersja 1903 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
|
Windows Server 2019 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
|
Windows Server 2019 |
Aktualizacja zabezpieczeń |
|
|
Windows Server 2016 (instalacja z podstawowymi elementami serwera) |
Aktualizacja zabezpieczeń |
|
|
Windows Server 2016 |
Aktualizacja zabezpieczeń |
|
|
Windows Server 2012 R2 (instalacja programu Server Core) |
Comiesięczny raport zbiorczy |
|
|
Tylko zabezpieczenia |
||
|
Windows Server 2012 R2 |
Comiesięczny raport zbiorczy |
|
|
Tylko zabezpieczenia |
||
|
Windows Server 2012 (instalacja z podstawowymi elementami serwera) |
Comiesięczny raport zbiorczy |
|
|
Tylko zabezpieczenia |
||
|
Windows Server 2012 |
Comiesięczny raport zbiorczy |
|
|
Tylko zabezpieczenia |
||
|
Windows Server 2008 R2 z dodatkiem Service Pack 1 |
Comiesięczny raport zbiorczy |
|
|
Tylko zabezpieczenia |
||
|
Dodatek Service Pack 2 dla systemu Windows Server 2008 |
Comiesięczny raport zbiorczy |
|
|
Tylko zabezpieczenia |
Krok 2. Włączanie trybu wymuszania
Po zaktualizowaniu roli kontrolera domeny w usłudze Active Directory dla wszystkich urządzeń hostjących rolę kontrolera domeny poczekaj co najmniej cały dzień, aby wszystkie zaległe bilety usługi Kerberos dla użytkownika (S4U2self) dla siebie wygasły. Następnie włącz pełną ochronę, wdrażając tryb wymusania. W tym celu włącz klucz rejestru Tryb wymusowania.
Ostrzeżenie Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może spowodować poważne problemy. Te problemy mogą wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie można rozwiązać. Modyfikujesz rejestr na własną odpowiedzialność.
Uwaga 16. Ta wartość rejestru nie jest tworzona przez zainstalowanie tej aktualizacji. Tę wartość rejestru należy dodać ręcznie.
|
Podklucz rejestru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Wartość |
NonForwardableDelegation |
|
Typ danych |
REG_DWORD |
|
Dane |
1.Wyłącza tryb wymuszania. 0:Włącza tryb wymuszania. To jest stan chroniony. |
|
Domyślne |
1 |
|
Czy jest wymagane ponowne uruchomienie? |
Nie |
Uwagi dotyczące wartości rejestru "NonForwardableDelegation":
-
Jeśli wartość rejestru jest ustawiona, będzie miała pierwszeństwo przed ustawieniem trybu wymusze, które jest zawarte w aktualizacjach z 9 marca 2021 Windows.
-
Jeśli dla wartości rejestru jest ustawiona wartość 1 (Wyłącz), przesyłanie dalej będzie dozwolone w przypadku biletów usługi Kerberos, które NIE są oznaczone jako przekazane dalej.
-
Jeśli wartość rejestru jest ustawiona na 0 (Włącz), przesyłanie dalej NIE jest dozwolone w przypadku biletów usługi Kerberos, KTÓRE NIE są oznaczone jako przekazane dalej.
-
-
Jeśli Domena obejmuje kontrolery domeny programu Windows Server 2008 R2 lub starszej wersji usługi Active Directory, nie musisz ustawiać trybu wymusowania, ponieważ kontrolery domen nie obsługują kontrolerów RBCD.
-
Niepowodzenie spójnej aktualizacji wszystkich kontrolerów domeny usługi Active Directory podczas włączania trybu wymusania spowoduje sporadyczne błędy delegowania usługi.
-
Przed ustawieniem trybu wymusowania:
-
Wszystkie kontrolery domeny usługi Active Directory muszą zostać zaktualizowane w aktualizacji z 8 grudnia 2020 Windows lub nowszej w Windows aktualizacji oraz
-
Wszystkie zaległe bilety usługi S4USelf Kerberos muszą wygasnąć, czekając dzień po ukończeniu wdrożenia aktualizacji Windows we wszystkich kontrolerach domeny usługi Active Directory.
-
Uwagi dodatkowe
Gdy ta ochrona jest włączona, ujednolicona jest logika delegowania ograniczonego usługi Resource-Based (RBCD) z oryginalną delegowaniem ograniczonym. Może to powodować problemy w dwóch następujących scenariuszach:
-
W jednej usłudze jest jednocześnie używane oryginalne delegowanie ograniczone Kerberos (KCD, Kerberos Constrained Delegation) bez przejścia protokołu do jednego obiektu docelowego, podczas gdy ta usługa używa protokołu RBCD z przejściem protokołu do innego. Po tej zmianie przejście odmowę protokołu będzie stosowane do obu stylów delegowania.
-
W domenie, która korzysta z kontrolerów domeny, które nie są zaktualizowane przy użyciu cve-2020-16996 lub starszych wersji programu Windows Server (starszych niż Windows Server 2012), które nie mają dostępnej aktualizacji dla cvE-2020-16996, są używane WBCD. Nieotrzymane kluczowe centra dystrybucyjne nie będą oznaczać biletów usługi S4USelf Kerberos jako oznaczanych delegowaniem i przejściem protokołu.
