IMPORTANTE A data para o modo de Imposição, conforme observado anteriormente neste artigo, foi alterada para 9 de março de 2021. |
Resumo
Se você usa Usuários Protegidos e a RBCD (Delegação Restrita Baseada em Recursos), uma vulnerabilidade de segurança pode existir nos controladores de domínio do Active Directory. Para saber mais sobre a vulnerabilidade de segurança, consulte CVE-2020-16996.
Tome medidas Para proteger seu ambiente e evitar interrupções, você deve fazer o seguinte:
|
Cronograma das atualizações
Essas atualizações do Windows serão lançadas em duas fases:
-
A fase de implantação inicial das atualizações do Windows lançadas em ou após 8 de dezembro de 2020.
-
A fase de imposição das atualizações do Windows lançadas em ou após 9 de março de 2021.
8 de dezembro de 2020: Fase de Implantação Inicial
A fase inicial de implantação começa com a atualização do Windows lançada em 8 de dezembro de 2020 e continua com uma atualização posterior do Windows para a fase de Aplicação. Estas e as atualizações posteriores do Windows fazem alterações no Kerberos.
Esta versão:
-
Lida com o CVE-2020-16996 (desativado por padrão).
-
Adiciona suporte ao valor de Registro NonForwardableDelegation para habilitar a proteção nos servidores do controlador de domínio do Active Directory. Por padrão, esse valor não existe.
A atenuação consiste em instalar as atualizações do Windows em todos os dispositivos que hospedam a função de controlador de domínio do Active Directory e controladores de domínio somente leitura (RODCs) e, em seguida, habilitar o modo de Aplicação.
9 de março de 2021: Fase de Imposição
A versão de 9 de março de 2021 passa para a fase de imposição. A fase de Imposição aplica as mudanças para lidar com a CVE-2020-16996. Os controladores de domínio do Active Directory agora estarão no modo de Imposição, a menos que a chave do Registro do modo de imposição seja definida como 1(Desativado). Se a chave do Registro do modo de Imposição for definida, a configuração será honrada. Ir para o modo de Imposição exige que todos os controladores de domínio do Active Directory tenham a atualização de 8 de dezembro de 2020 ou uma atualização posterior instalada.
Orientação de instalação
Antes de instalar esta atualização
Você deve ter as seguintes atualizações necessárias instaladas antes de aplicar esta atualização. Se você usar o Windows Update, essas atualizações necessárias serão oferecidas automaticamente conforme necessário.
-
Você precisa ter a atualização do SHA-2 (KB4474419) de 23 de setembro de 2019 ou uma atualização do SHA-2 mais recente instalada e reiniciar o dispositivo antes de aplicar esta atualização. Para obter mais informações sobre as atualizações do SHA-2, confira o requisito de Suporte de Assinatura de Código do SHA-2 2019 para Windows e WSUS.
-
Para o Windows Server 2008 R2 SP1, você deve ter instalado a atualização da pilha de serviços (SSU) (KB4490628) de 12 de março de 2019. Após a instalação da atualização KB4490628, recomendamos a instalação da atualização SSU mais recente. Para obter mais informações sobre a atualização SSU mais recente, consulte ADV990001 | Atualizações mais recentes da pilha de manutenção.
-
Para o Windows Server 2008 SP2, você deve ter instalado a atualização da pilha de serviços (SSU) (KB4493730) de 9 de abril de 2019. Após a instalação da atualização KB4493730, recomendamos a instalação da atualização SSU mais recente. Para obter mais informações sobre as últimas atualizações SSU, confira ADV990001 | Atualizações mais recentes da pilha de manutenção.
-
Os clientes devem adquirir a Atualização de Segurança Estendida (ESU) para versões locais do Windows Server 2008 SP2 ou Windows Server 2008 R2 SP1 após o término do suporte estendido em 14 de janeiro de 2020. Os clientes que compraram a ESU devem seguir os procedimentos em KB4522133 para continuar recebendo atualizações de segurança. Para obter mais informações sobre a ESU e quais edições têm suporte, consulte KB4497181.
Importante Você deve reiniciar seu dispositivo depois de instalar essas atualizações necessárias.
Instale a atualização
Para resolver a vulnerabilidade de segurança, instale as atualizações do Windows e habilite o modo de Imposição seguindo essas etapas.
Aviso Problemas de autenticação intermitente podem ocorrer se essas atualizações do Windows e o valor do Registro forem aplicados inconsistentemente em um ou ambos os seguintes cenários:
Importante Tanto as atualizações do Windows quanto o valor do Registro devem ser aplicados consistentemente em TODOS os controladores de domínio do Active Directory em seu ambiente. |
Etapa 1: instalar o Windows Update
Instale a atualização do Windows de 8 de dezembro de 2020 ou uma atualização posterior do Windows para todos os dispositivos que hospedam a função de controlador de domínio do Active Directory na floresta, incluindo controladores de domínio somente leitura.
Produto Windows Server |
KB # |
Tipo de atualização |
Windows Server, versão 20H2 (instalação Server Core) |
Atualização de segurança |
|
Windows Server, versão 2004 (instalação Server Core) |
Atualização de segurança |
|
Windows Server, versão 1909 (instalação Server Core) |
Atualização de segurança |
|
Windows Server, versão 1903 (instalação Server Core) |
Atualização de segurança |
|
Windows Server 2019 (instalação Server Core) |
Atualização de segurança |
|
Windows Server 2019 |
Atualização de segurança |
|
Windows Server 2016 (instalação Server Core) |
Atualização de segurança |
|
Windows Server 2016 |
Atualização de segurança |
|
Windows Server 2012 R2 (instalação Server Core) |
Pacote cumulativo mensal |
|
Apenas segurança |
||
Windows Server 2012 R2 |
Pacote cumulativo mensal |
|
Apenas segurança |
||
Windows Server 2012 (instalação Server Core) |
Pacote cumulativo mensal |
|
Apenas segurança |
||
Windows Server 2012 |
Pacote cumulativo mensal |
|
Apenas segurança |
||
Windows Server 2008 R2 Service Pack 1 |
Pacote cumulativo mensal |
|
Apenas segurança |
||
Windows Server 2008 Service Pack 2 |
Pacote cumulativo mensal |
|
Apenas segurança |
Etapa 2: habilitar o modo de imposição
Depois que todos os dispositivos que hospedam a função de controlador de domínio do Active Directory foram atualizados, espere pelo menos um dia inteiro para permitir que todos os tíquetes de serviço pendentes de S4U2self (Service for User to Self) do Kerberos expirem. Em seguida, habilite a proteção total implantando o modo de Imposição. Para fazer isso, habilite a chave do Registro do modo de Imposição.
Aviso A modificação incorreta do Registro usando o Editor do Registro ou outro método pode causar sérios problemas. que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Todo e qualquer risco decorrente da modificação do Registro é responsabilidade do usuário.
Observação Este valor de registro não é criado instalando esta atualização. Você deve adicionar este valor de registro manualmente.
Subchave do Registro |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Valor |
NonForwardableDelegation |
Tipo de dados |
REG_DWORD |
Dados |
1: Desabilita o modo de imposição. 0: Habilita o modo de imposição. Este é o estado protegido. |
Padrão |
1 |
É necessário reiniciar? |
Não |
Notas sobre o valor do Registro "NonForwardableDelegation":
-
Se o valor do Registro for definido, ele terá precedência sobre a configuração do modo de Imposição incluído nas atualizações do Windows de 9 de março de 2021.
-
Se o valor do Registro for definido como 1(Desativar), o encaminhamento será permitido em tíquetes de serviço do Kerberos que NÃO estiverem marcados como encaminhados.
-
Se o valor do Registro for definido como 0(Ativar), o encaminhamento NÃO será permitido em tíquetes de serviço do Kerberos que NÃO estiverem marcados como encaminhados.
-
-
Se o seu domínio incluir o Windows Server 2008 R2 ou os controladores de domínio do Active Directory anteriores, você não terá que definir o modo de Imposição porque esses controladores de domínio não são compatíveis com RBCD.
-
A falha em atualizar consistentemente todos os controladores de domínio do Active Directory ao ativar o modo de Imposição resultará em falhas na delegação de serviços intermitentes.
-
Antes de definir o modo de Imposição:
-
Todos os controladores de domínio do Active Directory devem ser atualizados com a atualização do Windows de 8 de dezembro de 2020 ou uma atualização posterior do Windows, e
-
Todos os tíquetes de serviço S4USelf Kerberos pendentes devem ter expirado esperando um dia depois de concluir a implantação da atualização do Windows para todos os controladores de domínio do Active Directory.
-
Considerações adicionais
Quando essa proteção está habilitada, ela unifica a lógica da RBCD (Delegação Restrita Baseada em Recursos) com a delegação original restrita. Isso pode causar problemas nos dois cenários a seguir:
-
Um único serviço usa simultaneamente a KCD (Delegação Restrita de Kerberos) sem transição de protocolo para um destino enquanto está usando RBCD com transição de protocolo para outro. Após essa mudança, a negação da transição de protocolo se aplicará aos dois estilos de delegação.
-
A RBCD é usada em um domínio que usa controladores de domínio que não são atualizados com CVE-2020-16996 ou executando versões mais antigas do Windows Server (mais antigo que o Window Server 2012) que não têm uma atualização disponível para CVE-2020-16996. Os KDCs (Centros de Distribuição de Chaves) que não forem atualizados não sinalizarão os tíquetes de serviço S4USelf Kerberos como adequados para a delegação, e a transição de protocolo será negada.