|
IMPORTANTE A data para o Modo de Imposição, conforme descrito anteriormente neste artigo, mudou para 9 de março de 2021. |
Resumo
Se utilizar Utilizadores Protegidos e Delegação Restrita Baseada em Recursos (RBCD), poderá existir uma vulnerabilidade de segurança nos controladores de domínio do Active Directory. Para saber mais sobre a vulnerabilidade de segurança, consulte CVE-2020-16996.
|
Tomar medidas Para proteger o seu ambiente e impedir intranques, tem de fazer o seguinte:
|
Temporizá-lo das atualizações
Estas Windows atualizações serão lançadas em duas fases:
-
A fase de implementação inicial das atualizações Windows lançadas a 8 de dezembro de 2020 ou depois.
-
A fase de imposição Windows atualizações lançadas a 9 de março de 2021 ou depois.
8 de dezembro de 2020: Fase de Implementação Inicial
A fase de implementação inicial começa com a atualização de Windows lançada a 8 de dezembro de 2020 e continua com uma atualização Windows posterior para a fase Imposição. Estas e mais recentes atualizações Windows aos Kerberos.
Esta versão:
-
Endereços CVE-2020-16996 (desativados por predefinição).
-
Adiciona suporte para o valor de registo NonForwardableDelegation para ativar a proteção em servidores de controlador de domínio do Active Directory. Por predefinição, o valor não existe.
A mitigação consiste na instalação das atualizações do Windows em todos os dispositivos que alogem a função de controlador de domínio do Active Directory e controladores de domínio só de leitura (RODCs) e, em seguida, ativar o modo de Imposição.
9 de março de 2021: Fase de Imposição
O lançamento de 9 de março de 2021 transita para a fase de imposição. A fase de imposição impõe as alterações para o endereço CVE-2020-16996. Os controladores de domínio do Active Directory estarão agora no modo de Imposição, a menos que a chave de registo do modo de imposição esteja definida como 1 (Desativada). Se a chave de registo Modo de Imposição estiver definida, a definição será honrada. Ir para o modo de Imposição requer que todos os controladores de domínio do Active Directory tenham a atualização de 8 de dezembro de 2020 ou uma atualização posterior instalada.
Orientação para a instalação
Antes de instalar esta atualização
Tem de ter as seguintes atualizações necessárias instaladas antes de aplicar esta atualização. Se utilizar o Windows Atualização, estas atualizações necessárias serão disponibilizadas automaticamente, conforme necessário.
-
Tem de ter a atualização SHA-2(KB4474419)com a data de 23 de setembro de 2019 ou uma atualização SHA-2 posterior instalada e, em seguida, reinicie o seu dispositivo antes de aplicar esta atualização. Para obter mais informações sobre as atualizações SHA-2, consulte Requisito de Suporte de Assinatura de Código SHA-2 para o Windows e WSUS.
-
Para o Windows Server 2008 R2 SP1, tem de ter instalado a atualização da pilha de atualizações servicing (SSU) (KB4490628)que tem a data de 12 de março de 2019. Após instalar a atualização KB4490628, recomendamos que instale a atualização SSU mais recente. Para obter mais informações sobre a atualização SSU mais recente, consulte ADV990001 | Atualizações da Pilha de Atualizações da Atualização de Serviço Mais Recentes.
-
Para o Windows Server 2008 SP2, tem de ter instalado a atualização da pilha de atualizações de atualizações servicing (SSU) (KB4493730)que tem a data de 9 de abril de 2019. Após instalar a atualização KB4493730, recomendamos que instale a atualização SSU mais recente. Para obter mais informações sobre as atualizações SSU mais recentes, consulte ADV990001 | Atualizações da Pilha de Atualizações da Atualização de Serviço Mais Recentes.
-
Os clientes têm de comprar a Atualização de Segurança Alargada (ESU) para versões no local do Windows Server 2008 SP2 ou Windows Server 2008 R2 SP1 após o suporte prolongado terminar a 14 de janeiro de 2020. Os clientes que tenham comprado a ESU têm de seguir os procedimentos em KB4522133 para continuar a receber atualizações de segurança. Para obter mais informações sobre a ESU e quais as edições suportadas, consulte KB4497181.
ImportanteTem de reiniciar o dispositivo depois de instalar estas atualizações necessárias.
Instalar a atualização
Para resolver a vulnerabilidade de segurança, instale as atualizações Windows segurança e ative o modo de Imposição ao seguir estes passos.
|
Aviso Podem ocorrer problemas de autenticação intermitentes se estas atualizações do Windows e o valor do registo estiverem aplicados de forma inconsistente num ou em ambos os seguintes cenários:
Importante Tanto Windows atualizações e o valor de registo têm de ser aplicados de forma consistente em TODOS os controladores de domínio do Active Directory no seu ambiente. |
Passo 1: instalar a atualização Windows atualização
Instale a atualização do Windows de 8 de dezembro de 2020 ou uma atualização posterior do Windows para todos os dispositivos que alozem a função de controlador de domínio do Active Directory na floresta, incluindo controladores de domínio só de leitura.
|
Windows produto do Servidor |
BDC # |
Tipo de atualização |
|
Windows Server, versão 20H2 (Instalação Principal do Servidor) |
Atualização de Segurança |
|
|
Windows Server, versão 2004 (instalação Server Core) |
Atualização de Segurança |
|
|
Windows Server, versão 1909 (instalação Server Core) |
Atualização de Segurança |
|
|
Windows Server, versão 1903 (instalação Server Core) |
Atualização de Segurança |
|
|
Windows Server 2019 (instalação Server Core) |
Atualização de Segurança |
|
|
Windows Server 2019 |
Atualização de Segurança |
|
|
Windows Server 2016 (instalação Core do Servidor) |
Atualização de Segurança |
|
|
Windows Server 2016 |
Atualização de Segurança |
|
|
Windows Server 2012 R2 (instalação Server Core) |
Rollup Mensal |
|
|
Apenas Segurança |
||
|
Windows Server 2012 R2 |
Rollup Mensal |
|
|
Apenas Segurança |
||
|
Windows Server 2012 (instalação Core do Servidor) |
Rollup Mensal |
|
|
Apenas Segurança |
||
|
Windows Server 2012 |
Rollup Mensal |
|
|
Apenas Segurança |
||
|
Windows Server 2008 R2 Service Pack 1 |
Rollup Mensal |
|
|
Apenas Segurança |
||
|
Windows Server 2008 Service Pack 2 |
Rollup Mensal |
|
|
Apenas Segurança |
Passo 2: Ativar o Modo de Imposição
Depois de todos os dispositivos que alonham a função de controlador de domínio do Active Directory ter sido atualizados, aguarde pelo menos um dia inteiro para permitir a expiração de todos os bilhetes de serviço Kerberos pendentes do Serviço de Utilizador para Self (S4U2self) Kerberos. Em seguida, ative a proteção total ao implementar o modo de Imposição. Para tal, ative a chave de registo Modo de Imposição.
Aviso Podem ocorrer problemas graves se modificar o registo incorretamente através do Editor de Registo ou de outro método. Estes problemas podem exigir que reinstale o sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Modifique o registo por sua conta e risco.
Note Este valor de registo não é criado ao instalar esta atualização. Tem de adicionar este valor de registo manualmente.
|
Subconsciente de registo |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Valor |
NonForwardableDelegation |
|
Tipo de dados |
REG_DWORD |
|
Dados |
1: Desativa o modo de imposição. 0: Ativa o modo de imposição. Este é o estado protegido. |
|
Predefinição |
1 |
|
É necessário reiniciar? |
Não |
Notas sobre o valorde registo"NonForwardableDelegation":
-
Se o valor de registo estiver definido, terá precedência sobre a definição do modo de Imposição incluída nas atualizações de 9 de março de 2021 Windows alterações.
-
Se o valor de registo estiver definido como 1 (Desativar), o encaminhamento será permitido em bilhetes de serviço Kerberos que NÃO sejam marcados como encaminhamento.
-
Se o valor de registo estiver definido como 0 (Ativar), o encaminhamento NÃO será permitido em bilhetes de serviço Kerberos que NÃO sejam marcados como encaminhamento.
-
-
Se o seu domínio incluir Windows Server 2008 R2 ou anteriores controladores de domínio do Active Directory, não tem de definir o modo de Imposição porque estes controladores de domínio não suportam rBCD.
-
A falha ao atualizar consistentemente todos os controladores de domínio do Active Directory ao ativar o modo de Imposição irá resultar em falhas de delegação de serviço intermitente.
-
Antes de definir o modo de Imposição:
-
Todos os controladores de domínio do Active Directory têm de ser atualizados com a atualização de Windows de 8 de dezembro de 2020 ou uma atualização Windows posterior e
-
Todos os bilhetes de serviço S4USelf Kerberos pendentes têm de expirar ao aguardar um dia após concluir a implementação da atualização do Windows para todos os controladores de domínio do Active Directory.
-
Considerações adicionais
Quando esta proteção se ativada, uni-a a lógica Resource-Based Delegação Restrita (RBCD) com a delegação restrita original. Isto pode causar problemas nos dois seguintes cenários:
-
Um único serviço utiliza simultaneamente a Delegação Restrita (KCD) original da Kerberos sem transição de protocolo para um destino enquanto está a utilizar o RBCD com protocolo de transição para outro. Após esta alteração, a transição de negação de protocolo será aplicada a ambos os estilos de delegação.
-
O RBCD é utilizado num domínio que utiliza controladores de domínio que não são atualizados com o CVE-2020-16996 ou que executam versões mais antigas do Windows Server (mais antigas do Window Server 2012) que não têm uma atualização disponível para o CVE-2020-16996. Os Principais Centros de Distribuição (KDCs) que não são atualizados não sinalizarão bilhetes de serviço S4USelf Kerberos como ok para delegação e transição de protocolos serão negados.
