ZAKTUALIZOWANO 20 marca 2023 r. — sekcja Dostępność
Podsumowanie
Protokół Remote Protocol Dcom (Distributed Component Object Model) jest protokołem umożliwiającym ujawnianie obiektów aplikacji przy użyciu zdalnych wywołań procedur (RPC). DCOM służy do komunikacji między składnikami oprogramowania urządzeń sieciowych. Zmiany stwardnienia w DCOM były wymagane dla CVE-2021-26414. Dlatego zalecamy sprawdzenie, czy aplikacje klienckie lub serwerowe w środowisku korzystające z dcom lub RPC działają zgodnie z oczekiwaniami z włączonymi zmianami hartowania.
Uwaga Zdecydowanie zalecamy zainstalowanie najnowszej dostępnej aktualizacji zabezpieczeń. Zapewniają one zaawansowane zabezpieczenia przed najnowszymi zagrożeniami bezpieczeństwa. Udostępniają również funkcje dodane do obsługi migracji. Aby uzyskać więcej informacji i kontekstu na temat hartowania dcom, zobacz Zaostrzenie uwierzytelniania DCOM: co należy wiedzieć.
Pierwsza faza aktualizacji DCOM została wydana 8 czerwca 2021 r. W tej aktualizacji hartowanie dcom zostało domyślnie wyłączone. Można je włączyć, modyfikując rejestr zgodnie z opisem w sekcji "Ustawienie rejestru, aby włączyć lub wyłączyć zmiany hartowania" poniżej. Druga faza aktualizacji DCOM została wydana 14 czerwca 2022 r. To zmieniło hartowanie domyślnie włączone, ale zachowało możliwość wyłączenia zmian przy użyciu ustawień klucza rejestru. Ostatnia faza aktualizacji DCOM zostanie wydana w marcu 2023 r. Zachowa ono włączone hartowanie DCOM i usunie możliwość jego wyłączenia.
Oś czasu
|
Aktualizacja wersji |
Zmiana zachowania |
|
8 czerwca 2021 r. |
Etap 1 Zwolnienie — zmiany hartowania są domyślnie wyłączone, ale z możliwością włączenia ich przy użyciu klucza rejestru. |
|
14 czerwca 2022 r. |
Faza 2 Zwolnienie — wyłączanie zmian domyślnie włączone, ale z możliwością ich wyłączenia przy użyciu klucza rejestru. |
|
14 marca 2023 r. |
Etap 3 Zwolnienie — zmiany hartowania są domyślnie włączone bez możliwości ich wyłączenia. Do tego momentu należy rozwiązać wszelkie problemy ze zgodnością związane ze zmianami stwardnienia i aplikacjami w środowisku. |
Testowanie zgodności z zabezpieczeniami dcom
Nowe zdarzenia błędu DCOM
Aby ułatwić identyfikowanie aplikacji, które mogą mieć problemy ze zgodnością po włączeniu zmian zaostrzania zabezpieczeń DCOM, dodaliśmy nowe zdarzenia błędów DCOM w dzienniku systemowym. Zobacz poniższe tabele. System zarejestruje te zdarzenia, jeśli wykryje, że aplikacja kliencka DCOM próbuje aktywować serwer DCOM przy użyciu poziomu uwierzytelniania mniejszego niż RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Możesz prześledzić do urządzenia klienckiego z dziennika zdarzeń po stronie serwera i użyć dzienników zdarzeń po stronie klienta, aby znaleźć aplikację.
Zdarzenia serwera — Wskazywanie, że serwer otrzymuje żądania niższego poziomu
|
Identyfikator zdarzenia |
Komunikat |
|---|---|
|
10036 |
"Zasady poziomu uwierzytelniania po stronie serwera nie zezwalają użytkownikowi %1\%2 SID (%3) z adresu %4 na aktywowanie serwera DCOM. Podnieś poziom uwierzytelniania aktywacji przynajmniej, aby RPC_C_AUTHN_LEVEL_PKT_INTEGRITY w aplikacji klienckiej". (%1 — domena, %2 — nazwa użytkownika, %3 — User SID, %4 — Adres IP klienta) |
Zdarzenia klienta — oznaczanie, która aplikacja wysyła żądania niższego poziomu
|
Identyfikator zdarzenia |
Komunikat |
|---|---|
|
10037 |
"Aplikacja %1 z identyfikatorem PID %2 żąda aktywowania identyfikatora CLSID %3 na komputerze %4 z jawnie ustawionym poziomem uwierzytelniania na poziomie %5. Najniższy poziom uwierzytelniania aktywacji wymagany przez dcom wynosi 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aby podnieść poziom uwierzytelniania aktywacji, skontaktuj się z dostawcą aplikacji". |
|
10038 |
"Aplikacja %1 z identyfikatorem PID %2 żąda aktywowania identyfikatora CLSID %3 na komputerze %4 z domyślnym poziomem uwierzytelniania aktywacji na poziomie %5. Najniższy poziom uwierzytelniania aktywacji wymagany przez dcom wynosi 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aby podnieść poziom uwierzytelniania aktywacji, skontaktuj się z dostawcą aplikacji". (%1 — Ścieżka aplikacji, %2 — Identyfikator PID aplikacji, %3 – CLSID klasy COM, o którą aplikacja żąda aktywowania, %4 — Nazwa komputera, %5 — wartość poziomu uwierzytelniania) |
Dostępność
Te zdarzenia błędów są dostępne tylko dla podzestawu wersji systemu Windows. zobacz poniższą tabelę.
|
Wersja systemu Windows |
Dostępne w tych datach lub później |
|---|---|
|
Windows Server 2022 |
27 września 2021 r. |
|
Windows 10, wersja 2004, Windows 10, wersja 20H2, Windows 10, wersja 21H1 |
1 września 2021 r. |
|
Windows 10 w wersji 1909 |
26 sierpnia 2021 r. |
|
Windows Server 2019, Windows 10, wersja 1809 |
26 sierpnia 2021 r. |
|
Windows Server 2016, Windows 10, wersja 1607 |
14 września 2021 r. |
|
Windows Server 2012 R2 i Windows 8.1 |
12 października 2021 r. |
|
Windows 11, wersja 22H2 |
30 września 2022 r. |
Poprawka automatycznego podwyższenia żądania po stronie klienta
Poziom uwierzytelniania dla wszystkich nie anonimowych żądań aktywacji
Aby ograniczyć problemy ze zgodnością aplikacji, automatycznie podnieśliśmy poziom uwierzytelniania dla wszystkich nie anonimowych żądań aktywacji z klientów dcom opartych na systemie Windows, aby RPC_C_AUTHN_LEVEL_PKT_INTEGRITY co najmniej. Dzięki tej zmianie większość żądań klientów dcom opartych na systemie Windows zostanie automatycznie zaakceptowana z włączonymi zmianami hartowania DCOM po stronie serwera bez dalszych modyfikacji klienta DCOM. Ponadto większość klientów dcom systemu Windows będzie automatycznie pracować z dcom hartowania zmian po stronie serwera bez dalszych zmian w kliencie DCOM.
Uwaga Ta poprawka będzie nadal dostępna w aktualizacjach zbiorczych.
Łata oś czasu aktualizacji
Od czasu wydania wstępnego w listopadzie 2022 r. poprawka automatycznego podnoszenia poziomu zawiera kilka aktualizacji.
-
Aktualizacja z listopada 2022 r.
-
Ta aktualizacja automatycznie podniosła poziom uwierzytelniania aktywacji do integralności pakietów. Ta zmiana była domyślnie wyłączona w systemach Windows Server 2016 i Windows Server 2019.
-
-
Aktualizacja z grudnia 2022 r.
-
Zmiana listopadowa była domyślnie włączona w systemach Windows Server 2016 i Windows Server 2019.
-
Ta aktualizacja rozwiązała również problem, który wpływał na anonimową aktywację w systemach Windows Server 2016 i Windows Server 2019.
-
-
Aktualizacja ze stycznia 2023 r.
-
Ta aktualizacja rozwiązała problem, który wpływał na anonimową aktywację na platformach od Windows Server 2008 do Windows 10 (wersja początkowa wydana w lipcu 2015 r.).
-
Jeśli skumulowane aktualizacje zabezpieczeń zostały zainstalowane na komputerach klienckich i serwerach od stycznia 2023 r., będą one miały w pełni włączoną najnowszą poprawkę automatycznego podnoszenia poziomu.
Ustawienie rejestru umożliwiające włączenie lub wyłączenie zmian zaostrzania
Podczas faz osi czasu, w których można włączyć lub wyłączyć zmiany stwardnienia dla CVE-2021-26414, możesz użyć następującego klucza rejestru:
-
Ścieżka: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Nazwa wartości: "RequireIntegrityActivationAuthenticationLevel"
-
Typ: dword
-
Dane wartości: default= 0x00000000 oznacza wyłączone. 0x00000001 oznacza, że jest włączona. Jeśli ta wartość nie jest zdefiniowana, zostanie ona domyślnie włączona.
Uwaga Dane wartości należy wprowadzić w formacie szesnastkowym.
Ważne Po ustawieniu tego klucza rejestru należy ponownie uruchomić urządzenie, aby zostało zastosowane.
Uwaga Włączenie powyższego klucza rejestru spowoduje, że serwery DCOM wymuszą Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY lub nowszą w celu aktywacji. Nie ma to wpływu na aktywację anonimową (aktywacja przy użyciu poziomu uwierzytelniania RPC_C_AUTHN_LEVEL_NONE). Jeśli serwer DCOM zezwala na aktywację anonimową, nadal będzie dozwolony nawet w przypadku włączenia zmian hartowania dcom.
Uwaga Ta wartość rejestru nie istnieje domyślnie. musisz go utworzyć. System Windows odczyta go, jeśli istnieje i nie zastąpi go.
Uwaga Zainstalowanie późniejszych aktualizacji nie spowoduje zmiany ani usunięcia istniejących wpisów i ustawień rejestru.
