Podsumowanie
W ramach przeglądu zabezpieczeń ustaliliśmy, że klucz prywatny firmy Microsoft, używany do odblokowywania uprzywilejowanego punktu końcowego Centrum Azure Stack dla kompilacji Azure Stack Hub 2002, nie jest poprawnie zabezpieczony. Dalsze dochodzenie nie znalazło dowodów na niewłaściwe użycie klucza prywatnego. Z dużą ostrożnością firma Microsoft udostępnia tę poprawkę w celu obrócenia klucza publicznego używanego do tej uprzywilejowanej sekwencji odblokowywania pomocy technicznej dla punktów końcowych.
Aby użyć tego klucza prywatnego, muszą zostać spełnione następujące warunki:
-
Musisz mieć poświadczenia administratora chmury dla urządzenia Centrum Azure Stack.
-
Musisz mieć łączność sieciową z adresami IP punktu końcowego usługi Azure Stack Privileged Endpoint. Należy pamiętać, że te adresy IP znajdują się w odizolowanej sieci infrastruktury. We wdrożeniu standardowym adresy te nie wykorzystują routingu internetowego adresów IP, co sprawia, że punkty końcowe są dostępne tylko z twojej sieci wewnętrznej/zarządzania.
-
Klucz prywatny służy do przetwarzania tokenu obsługi odpowiedzi wyzwania i używania go do odblokowywania uprzywilejowanego punktu końcowego. Jest to podobne do scenariusza pomocy technicznej obsługiwanej bezpośrednio z firmą Microsoft, zgodnie z opisem w artykule Azure Stack Hub Using the privileged endpoint in Azure Stack Hub.
Ta poprawka powoduje obrócenie klucza publicznego używanego do odblokowania uprzywilejowanego punktu końcowego centrum Azure Stack Hub dla centrum Azure Stack Hub 2002 i zawiera wszystkie poprzednie poprawki z 2002 roku. Zdecydowanie zalecamy jak najszybsze zainstalowanie tej poprawki.
Poprawki wprowadzone w poprzednich wersjach poprawek
-
Zwiększono niezawodność sieci SDN w węzłach fizycznych.
-
Rozwiązano problem polegający na tym, że wirtualna podsieć nie była czyszczona, jeśli tunel został przeniesiony do innej maszyny wirtualnej GW, a następnie wirtualna podsieć została usunięta.
-
Rozwiązano problem, który mógł powodować niepowodzenie rejestracji i wewnętrznego tajnego obrotu.
-
Dodano ustawienia specyficzne dla pamięci, aby ustawić zrzut awaryjny.
-
Rozwiązano problem z nieprawidłowym użyciem uchwytu SMB wywołany przez zdarzenie błędu ESENT 59 w tableserver.
-
Rozwiązano problem, który wpływał na niezawodność pobierania kolejnych aktualizacji.
-
Zwiększono niezawodność instalacji pakietu NuGet po nieoczekiwanym niepowodzeniu.
-
Rozwiązano problem polegający na tym, że sprawdzanie poprawności listy rozwijanej subskrypcji kończyło się niepowodzeniem, gdy użytkownik ma tylko uprawnienie do zapisu RG.
-
Rozwiązano problem polegający na tym, że strona pobierania obiektów blob występowała podczas pobierania dużych elementów.
-
Rozwiązano problem polegający na tym, że konfiguracja okresu przechowywania usuniętych kont magazynu została przywrócona.
-
Poprawiono stabilność kontrolera sieci.
-
Zwiększono przechowywanie dziennika kontrolera sieci w celu ułatwienia diagnostyki.
-
Rozwiązano problem polegający na tym, że pobieranie z witryny Marketplace mogło zakończyć się niepowodzeniem z powodu błędu sprawdzania poprawności certyfikatu.
-
Dołącz certyfikat tożsamości dostawcy wdrażania do wewnętrznego obrotu tajnego.
-
Naprawiono funkcję WMI magazynu systemu Windows, która zapewniała szybkość połączenia, co zwiększało niezawodność operacji zarządzania pamięcią.
-
Dodano monitor stanu modułu TPM dla hostów fizycznych.
-
Ponownie uruchomiono maszyny wirtualne SQL, aby ograniczyć potencjalny problem z dostępem do bazy danych, który wpływa na dostęp do portalu.
-
Zwiększono niezawodność obiektów blob magazynu i usługi tabel.
-
Rozwiązano problem polegający na tym, że tworzenie VMSS z Standard_DS2_v2 SKU za pośrednictwem interfejsu użytkownika zawsze nie powiodło się.
-
Ulepszenia aktualizacji konfiguracji.
-
Naprawiono przeciek wyliczbacza KVS w funkcji DiskRP w celu zwiększenia niezawodności operacji na dysku.
-
Ponownie włączono możliwość generowania zrzutów awaryjnych hosta i wyzwalania awarii NMI w przypadku zawieszania się.
-
Rozwiązano lukę w zabezpieczeniach serwera DNS opisaną w artykule CVE-2020-1350.
-
Zmiany, które rozwiązały problem niestabilności klastra.
-
Zwiększono niezawodność tworzenia punktów końcowych JEA.
-
Usunięto błąd, aby odblokować jednoczesne tworzenie maszyny wirtualnej w rozmiarach partii 20 lub większych.
-
Zwiększono niezawodność i stabilność portalu, dodając możliwość monitorowania w celu ponownego uruchomienia usługi hostingowej w przypadku jakichkolwiek przestojów.
-
Rozwiązano problem polegający na tym, że niektóre alerty nie były wstrzymane podczas aktualizacji.
-
Ulepszono diagnostykę wokół błędów w zasobach DSC.
-
Poprawiono komunikat o błędzie wygenerowany przez nieoczekiwaną awarię skryptu wdrażania gołego metalu.
-
Zwiększono odporność podczas operacji naprawy węzłów fizycznych.
-
Rozwiązano problem z błędem kodu, który czasami powodował, że aplikacja HRP SF stawała się niezdrowa. Usunięto również wadę kodu, która uniemożliwiała zawieszenie alertów podczas aktualizacji.
-
Zwiększono odporność kodu tworzenia obrazów, gdy ścieżka docelowa jest nieoczekiwanie niedostępna.
-
Dodano interfejs oczyszczania dysku dla maszyn wirtualnych ERCS i upewniliśmy się, że działa przed podjęciem próby zainstalowania nowej zawartości na tych maszynach wirtualnych.
-
Ulepszono sprawdzanie kworum dla naprawy węzła Service Fabric w ścieżce automatycznego korygowania.
-
Ulepszona logika wokół przenoszenia węzłów klastra z powrotem do trybu online w rzadkich przypadkach, gdy interwencja zewnętrzna stawia je w nieoczekiwanym stanie.
-
Zwiększono odporność kodu aparatu, aby zapewnić, że literówki w obudowie nazw maszyny nie spowodują nieoczekiwanego stanu w konfiguracji ECE, gdy zostaną użyte ręczne akcje dodawania i usuwania węzłów.
-
Dodano sprawdzanie kondycji w celu wykrycia operacji naprawy maszyny wirtualnej lub węzła fizycznego, które pozostały w stanie częściowo wykonanym z poprzednich sesji pomocy technicznej.
-
Ulepszono rejestrowanie diagnostyczne w celu zainstalowania zawartości z pakietów NuGet podczas aranżacji aktualizacji.
-
Usunięto błąd wewnętrznego obrotu tajnego dla klientów, którzy używają usługi AAD jako systemu tożsamości, i blokowali wychodzącą łączność z Internetem w usłudze ERCS.
-
Zwiększono domyślny limit czasu Test-AzureStack dla AzsScenarios do 45 minut.
-
Zwiększono niezawodność aktualizacji HealthAgent.
-
Rozwiązano problem polegający na tym, że naprawa maszyn wirtualnych maszyn wirtualnych nie była wyzwalana podczas akcji naprawczych.
-
Aktualizacja hosta była odporna na problemy spowodowane cichym niepowodzeniem oczyszczania nieaktualnych plików maszyn wirtualnych infrastruktury.
-
Dodano poprawkę zapobiegawczą dotyczącą błędów analizowania certutil podczas używania losowo generowanych haseł.
-
Dodano rundę kontroli kondycji przed aktualizacją aparatu, dzięki czemu operacje administratora, które nie powiodły się, mogły być uruchomione z oryginalną wersją kodu aranżacji.
-
Usunięto błąd tworzenia kopii zapasowej acs, gdy kopia zapasowa ACSSettingsService zakończyła się jako pierwsza.
-
Uaktualniony poziom zachowania farmy usług Azure Stack AD FS do wersji 4. Centrum Azure Stack wdrożone w wersji 1908 lub nowszej są już w wersji 4.
-
Zwiększono niezawodność procesu aktualizacji hosta.
-
Rozwiązano problem z odnawianiem certyfikatu, który mógł powodować niepowodzenie wewnętrznego obrotu tajnego.
-
Rozwiązano nowy alert synchronizacji serwera czasu w celu rozwiązania problemu polegającego na nieprawidłowym wykryciu problemu z synchronizacją czasu po określeniu źródła czasu z flagą 0x8.
-
Poprawiono błąd ograniczenia sprawdzania poprawności, który występował podczas korzystania z nowego interfejsu automatycznego zbierania dzienników i wykrył
-
https://login.windows.net/ jako nieprawidłowy punkt końcowy Azure AD.
-
Rozwiązano problem, który uniemożliwiał korzystanie z automatycznej kopii zapasowej SQL za pośrednictwem programu SQLIaaSExtension.
-
Poprawiono alerty używane w Test-AzureStack podczas sprawdzania poprawności certyfikatów kontrolera sieci.
-
Uaktualniony poziom zachowania farmy usług Azure Stack AD FS do wersji 4. Centrum Azure Stack wdrożone w wersji 1908 lub nowszej są już w wersji 4.
-
Zwiększono niezawodność procesu aktualizacji hosta.
-
Rozwiązano problem z odnawianiem certyfikatu, który mógł powodować niepowodzenie wewnętrznego obrotu tajnego.
-
Zmniejszono wyzwalacze alertów, aby uniknąć niepotrzebnych proaktywnych kolekcji dzienników.
-
Zwiększono niezawodność uaktualniania magazynu, eliminując limit czasu objaśnień usługi Windows Health Service WMI.
Informacje dotyczące poprawek
Aby zastosować tę poprawkę, musisz mieć wersję 1.2002.0.35lub nowszą.
z 2002 r., upewnij się, że odwołujesz się do listy kontrolnej aktywności aktualizacji na uruchomieniu test-AzureStack (z określonymi parametrami) i rozwiąż wszelkie znalezione problemy operacyjne, w tym wszystkie ostrzeżenia i błędy. Ponadto przejrzyj aktywne alerty i rozwiąż wszystkie wymagające działania.
Ważne Jak opisano w informacjach o wersji aktualizacjiInformacje dotyczące pliku
Pobierz następujące pliki. Następnie postępuj zgodnie z instrukcjami na stronie Stosowanie aktualizacji w stosie Azure Stack w witrynie internetowej Microsoft Learn, aby zastosować tę aktualizację do stosu Azure Stack.
Więcej informacji
Zasoby dotyczące aktualizacji Centrum stosu Azure
Omówienie zarządzania aktualizacjami w usłudze Azure Stack
Stosowanie aktualizacji w usłudze Azure Stack
Monitorowanie aktualizacji w usłudze Azure Stack przy użyciu uprzywilejowanego punktu końcowego