|
IMPORTANT Data pentru modul de impunere, așa cum s-a menționat anterior în acest articol, a fost modificată la 9 martie 2021. |
Rezumat
Dacă utilizați Utilizatori protejați și Delegare limitată pe bază de resurse (RBCD), poate exista o vulnerabilitate de securitate pe controlerele de domeniu Active Directory. Pentru a afla mai multe despre vulnerabilitatea de securitate, consultați CVE-2020-16996.
|
Luați măsuri Pentru a vă proteja mediul și a preveni depărtări, trebuie să faceți următoarele:
|
Temporizare actualizări
Aceste Windows noi actualizări vor fi lansate în două faze:
-
Faza de implementare inițială pentru Windows lansate la sau după 8 decembrie 2020.
-
Faza de impunere pentru Windows lansate la 9 martie 2021 sau după acestea.
8 decembrie 2020: Etapa de implementare inițială
Etapa de implementare inițială începe cu actualizarea de Windows lansată la 8 decembrie 2020 și continuă cu o actualizare Windows ulterior pentru faza de impunere. Acestea și actualizările Windows mai recente fac modificări în Kerberos.
Această versiune:
-
Adrese CVE-2020-16996 (dezactivată implicit).
-
Adaugă suport pentru valoarea registry NonForwardableDelegation pentru a activa protecția pe serverele controlerului de domeniu Active Directory. În mod implicit, valoarea nu există.
Atenuarea constă în instalarea actualizărilor Windows pe toate dispozitivele care găzduiesc rolul de controler de domeniu Active Directory și controlere de domeniu doar în citire (CESE- domain controllers), apoi activarea modului de impunere.
9 martie 2021: Etapa de impunere
Tranzițiile lansări din 9 martie 2021 intră în etapa de impunere. Etapa de impunere impune modificările pentru adresa CVE-2020-16996. Controlerele de domeniu Active Directory se vor află acum în modul De impunere, cu excepția cazului în care cheia de registry pentru modul de impunere este setată la 1 (Dezactivat). Dacă este setată cheia de registry pentru modul de impunere, setarea va fi onorată. Pentru a trece la modul de impunere trebuie ca toate controlerele de domeniu Active Directory să aibă actualizarea din 8 decembrie 2020 sau o actualizare mai recentă instalată.
Instrucțiuni pentru instalare
Înainte de a instala această actualizare
Trebuie să aveți următoarele actualizări necesare instalate înainte de a aplica această actualizare. Dacă utilizați această Windows, aceste actualizări necesare vor fi oferite automat, după cum este necesar.
-
Trebuie să aveți instalată actualizarea SHA-2(KB4474419)care este cu 23 septembrie 2019 sau o actualizare SHA-2 mai recentă, apoi să reporniți dispozitivul înainte de a aplica această actualizare. Pentru mai multe informații despre actualizările SHA-2, consultați Cerința de asistență pentru semnarea codului SHA-2 2 2019 pentru Windows și WSUS.
-
Pentru Windows Server 2008 R2 SP1, trebuie să fi instalat actualizarea stivei de servicii (SSU) (KB4490628)care este datată la 12 martie 2019. După ce instalați actualizarea KB4490628, vă recomandăm să instalați cea mai recentă actualizare SSU. Pentru mai multe informații despre cea mai recentă actualizare SSU, consultați ADV990001 | Cele mai recente actualizări ale stivei de servicii.
-
Pentru Windows Server 2008 SP2, trebuie să fi instalat actualizarea stivei de servicii (SSU) (KB4493730)care este datată 9 aprilie 2019. După ce instalați actualizarea KB4493730, vă recomandăm să instalați cea mai recentă actualizare SSU. Pentru mai multe informații despre cele mai recente actualizări SSU, consultați ADV990001 | Cele mai recente actualizări ale stivei de servicii.
-
Clienții trebuie să achiziționeze Actualizarea de securitate extinsă (Extended Security Update - ESU) pentru versiunile locale de Windows Server 2008 SP2 sau Windows Server 2008 R2 SP1 după ce suportul extins s-a încheiat la 14 ianuarie 2020. Clienții care au achiziționat ESU trebuie să urmeze procedurile din KB4522133 pentru a continua să primească actualizări de securitate. Pentru mai multe informații despre ESU și edițiile acceptate, consultați KB4497181.
Important Trebuie să reporniți dispozitivul după ce instalați aceste actualizări necesare.
Instalați actualizarea
Pentru a rezolva vulnerabilitatea de securitate, instalați actualizările automate Windows activați modul de impunere, urmând acești pași.
|
Avertisment Pot apărea probleme de autentificare intermitentă dacă aceste Windows de registry și valoarea registry sunt aplicate inconsistent în unul dintre scenariile următoare sau în ambele:
Important Atât Windows actualizările active, cât și valoarea de registry trebuie să se aplice consecvent pe TOATE controlerele de domeniu Active Directory din mediul dvs. |
Pasul 1: Instalați actualizarea Windows actualizare
Instalați actualizarea din 8 decembrie 2020 Windows sau o actualizare Windows mai recentă pentru toate dispozitivele care găzduiesc rolul de controler de domeniu Active Directory în pădure, inclusiv controlerele de domeniu doar în citire.
|
Windows Server |
KB # |
Tipul actualizării |
|
Windows Server, versiunea 20H2 (Server Core Installation) |
Actualizare de securitate |
|
|
Windows Server, versiunea 2004 (instalare Server Core) |
Actualizare de securitate |
|
|
Windows Server, versiunea 1909 (instalare Server Core) |
Actualizare de securitate |
|
|
Windows Server, versiunea 1903 (instalare Server Core) |
Actualizare de securitate |
|
|
Windows Server 2019 (instalare Server Core) |
Actualizare de securitate |
|
|
Windows Server 2019 |
Actualizare de securitate |
|
|
Windows Server 2016 (instalare server de bază) |
Actualizare de securitate |
|
|
Windows Server 2016 |
Actualizare de securitate |
|
|
Windows Server 2012 R2 (instalare Server Core) |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2012 R2 |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2012 (instalare Server Core) |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2012 |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2008 R2 cu Service Pack 1 |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2008 Service Pack 2 |
Monthly Rollup |
|
|
Doar securitate |
Pasul 2: Activarea modului de impunere
După ce toate dispozitivele care găzduiesc rolul de controler de domeniu Active Directory au fost actualizate, așteptați cel puțin o zi întreagă pentru a permite ca toate tichetele de serviciu Kerberos nerezolvate pentru utilizator să expire (S4U2 fișă) Kerberos. Apoi activați protecția completă prin implementarea modului de impunere. Pentru a face acest lucru, activați cheia de registry pentru modul de impunere.
Avertisment Pot să apară probleme grave dacă faceți modificări incorecte în registry utilizând Registry Editor sau altă metodă. Aceste probleme pot necesita reinstalarea sistemului de operare. Microsoft nu poate garanta că aceste probleme pot fi rezolvate. Faceți modificări în registry pe propriul risc.
Notă Această valoare de registry nu este creată prin instalarea acestei actualizări. Trebuie să adăugați manual această valoare de registry.
|
Subcheie de registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Valoare |
NonForwardableDelegation |
|
Tip de date |
REG_DWORD |
|
Date |
1:Dezactivează modul de impunere. 0:Activează modul de impunere. Aceasta este starea protejată. |
|
Implicit |
1 |
|
Este necesară o Repornire? |
Nu |
Note despre valoarea registry "NonForwardableDelegation":
-
Dacă valoarea de registry este setată, ea va avea prioritate față de setarea modului de impunere inclusă în data de 9 martie 2021 Windows actualizările.
-
Dacă valoarea de registry este setată la 1 (Dezactivare), redirecționarea va fi permisă pe tichetele de serviciu Kerberos care NU sunt marcate ca redirecționabile.
-
Dacă valoarea de registry este setată la 0 (Activare), redirecționarea NU va fi permisă pe tichetele de serviciu Kerberos care NU sunt marcate ca redirecționabile.
-
-
Dacă domeniul dvs. include Windows Server 2008 R2 sau controlere de domeniu Active Directory anterioare, nu trebuie să setați modul de impunere, deoarece aceste controlere de domeniu nu acceptă RBCD.
-
Imposibilitatea de a actualiza constant toate controlerele de domeniu Active Directory atunci când activați modul de impunere va avea ca rezultat erori de delegare intermitentă a serviciului.
-
Înainte de a seta modul de impunere:
-
Toate controlerele de domeniu Active Directory trebuie actualizate cu actualizarea din 8 decembrie 2020 Windows sau cu o actualizare Windows mai recentă și
-
Toate tichetele de serviciu S4UMg Kerberos restante trebuie să expire așteptând o zi după finalizarea implementării Windows update pentru toate controlerele de domeniu Active Directory.
-
Considerații suplimentare
Atunci când această protecție, dacă este activată, anulează logica pentru Resource-Based delegarea limitată (RBCD) cu delegarea inițială limitată. Acest lucru poate provoca probleme în următoarele două scenarii:
-
Un singur serviciu utilizează simultan delegarea constrânsă inițială Kerberos (KCD) fără protocol la o țintă, în timp ce utilizează RBCD, cu tranziția de protocol la alta. După această modificare, tranziția de tip refuz-protocol se va aplica ambelor stiluri de delegare.
-
RBCD este utilizat într-un domeniu care utilizează controlere de domeniu care nu sunt actualizate cu CVE-2020-16996 sau în versiuni mai vechi de Windows Server (mai vechi de Window Server 2012) care nu au o actualizare disponibilă pentru CVE-2020-16996. Centrele de distribuire cheie (KDCs) care nu sunt actualizate nu vor semnaliza tichetele de serviciu S4U Ore de lucru Kerberos ca ok pentru delegarea și tranziția protocolului vor fi refuzate.
