Important: Datele de lansare indicate anterior în acest articol s-au modificat. Vă rugăm să rețineți noile date de lansare din secțiunile "luați măsuri" și "calendarul acestor actualizări Windows".
Rezumat
Există o vulnerabilitate de bypass a caracteristicii de securitate în modul în care Centrul de distribuire cheie (KDC) determină dacă un bilet de serviciu Kerberos poate fi utilizat pentru delegare prin delegare constrânsă Kerberos (KCD). Pentru a exploata vulnerabilitatea, un serviciu compromis care este configurat să utilizeze KCD ar putea falsifica un bilet de serviciu Kerberos care nu este valid pentru delegare pentru a impune ca KDC să o accepte. Aceste actualizări Windows abordează această vulnerabilitate modificând modul în care KDC validează tichetele de serviciu Kerberos utilizate cu KCD.
Pentru a afla mai multe despre această vulnerabilitate, consultați CVE-2020-17049.
|
Luați măsuri Pentru a vă proteja mediul și a preveni întreruperile, trebuie să urmați toți acești pași:
|
Sincronizarea acestor actualizări Windows
Aceste actualizări Windows vor fi lansate în trei faze:
-
Faza inițială de implementare pentru actualizările Windows lansate la sau după 8 decembrie 2020.
-
O a doua fază de implementare care elimină PerformTicketSignature setarea 0 și necesită fie setarea 1 , fie 2, la sau după 13 aprilie 2021.
-
Faza de executare pentru actualizările Windows lansate la sau după 13 iulie 2021.
8 decembrie 2020: faza inițială de implementare
Faza inițială de implementare începe cu actualizarea Windows lansată pe 8 decembrie 2020 și continuă cu o actualizare Windows ulterioară pentru faza de executare. Aceste actualizări Windows și mai recente fac modificări la Kerberos. Această actualizare din 8 decembrie 2020 include remedieri pentru toate problemele cunoscute introduse inițial de ediția 10 noiembrie 2020 de CVE-2020-17049. Această actualizare adaugă, de asemenea, suport pentru Windows Server 2008 SP2 și Windows Server 2008 R2.
Această lansare:
-
Adrese CVE-2020-17049 (în modul de implementare în mod implicit).
-
Adaugă suport pentru valoarea de registry PerformTicketSignature pentru a activa protecția pe serverele controler de domeniu Active Directory. În mod implicit, această valoare nu există.
Atenuarea constă în instalarea actualizărilor Windows pe toate dispozitivele care găzduiesc rolul controlerului de domeniu Active Directory și controlerele de domeniu doar în citire (RODCs), apoi permițând modul de executare.
13 aprilie 2021: a doua fază de implementare
A doua fază de implementare începe cu actualizarea Windows lansată pe 13 aprilie 2021. Această etapă elimină setarea PerformTicketSignature0. Setarea PerformTicketSignature la 0 după ce această actualizare este instalată va avea același efect ca setarea PerformTicketSignature la 1. DCs va fi în modul de implementare.
Note
-
Această etapă nu este necesară dacă PerformTicketSignature nu a fost setată la 0 în mediul dvs. Această etapă vă ajută să vă asigurați că clienții care setează PerformTicketSignature la 0 sunt mutați în setarea 1 înainte de faza de Executare .
-
Odată cu implementarea actualizărilor din 13 aprilie, 2021, setarea PerformTicketSignature la 1 va permite ca tichetele de serviciu să fie reînnoite. Aceasta este o modificare a comportamentului din actualizările Windows din pre-aprilie 2021 atunci când setați PerformTicketSignature la 1 , care a provocat ca tichetele de serviciu să nu fie regenerabile.
-
Această actualizare presupune că toate controlerele de domeniu sunt actualizate cu actualizările 2020 din 8 decembrie sau cu actualizări mai recente.
-
După ce instalați această actualizare și setați manual sau programatic PerformTicketSignature la 1 sau mai mare, controlerele de domeniu Windows Server neacceptate nu vor mai funcționa cu controlerele de domeniu acceptate. Aceasta include Windows Server 2008 și Windows Server 2008 R2 fără actualizări de securitate extinse (ESU) și Windows Server 2003.
13 iulie 2021: faza de executare
Pe 13 iulie, 2021 lansează tranzițiile în faza de executare. Faza de executare impune modificările la adresa CVE-2020-17049. Controlerele de domeniu Active Directory sunt acum capabile să implementeze modul de executare. Accesarea modului de executare necesită ca toate controlerele de domeniu Active Directory să aibă actualizarea 8 decembrie, 2020 sau o actualizare Windows mai recentă instalată. În acest moment, setările cheii de registry PerformTicketSignature vor fi ignorate și modul de executare nu poate fi anulat.
Ghid de instalare
Înainte de a instala această actualizare
Trebuie să aveți următoarele actualizări necesare instalate înainte de a aplica această actualizare. Dacă utilizați Windows Update, aceste actualizări necesare vor fi oferite automat, după cum este necesar.
-
Trebuie să aveți actualizarea SHA-2 (KB4474419) care este datat 23 septembrie, 2019 sau o actualizare Sha-2 ulterioară instalată, apoi reporniți dispozitivul înainte de a aplica această actualizare. Pentru mai multe informații despre actualizările SHA-2, consultați codul de asistență pentru semnarea 2019 Sha-2 pentru Windows și WSUS.
-
Pentru Windows Server 2008 R2 SP1, trebuie să aveți instalat actualizarea Stack Service (SSU) (KB4490628) care este datat la 12 martie 2019. După ce se instalează actualizarea KB4490628 , vă recomandăm să instalați cea mai recentă actualizare Ssu. Pentru mai multe informații despre cea mai recentă actualizare SSU, consultați ADV990001 | Cele mai recente actualizări pentru stiva de servicii.
-
Pentru Windows Server 2008 SP2, trebuie să aveți instalat actualizarea Stack Service (SSU) (KB4493730) care este datat la 9 aprilie 2019. După ce se instalează actualizarea KB4493730 , vă recomandăm să instalați cea mai recentă actualizare Ssu. Pentru mai multe informații despre cele mai recente actualizări SSU, consultați ADV990001 | Cele mai recente actualizări pentru stiva de servicii.
-
Clienții trebuie să achiziționeze actualizarea de securitate extinsă (ESU) pentru versiunile locale de windows Server 2008 SP2 sau windows Server 2008 R2 SP1 după ce s-a încheiat asistența extinsă pe 14 ianuarie 2020. Clienții care au achiziționat ESU trebuie să urmeze procedurile din KB4522133 pentru a continua să primească actualizări de securitate. Pentru mai multe informații despre ESU și ce ediții sunt acceptate, consultați KB4497181.
Important Trebuie să reporniți dispozitivul după ce instalați aceste actualizări necesare.
Instalați toate actualizările
Pentru a rezolva vulnerabilitatea de securitate, instalați toate actualizările Windows și activați modul de executare, urmând acești pași:
-
Implementați cel puțin una dintre actualizările din 8 decembrie 2020 și 9 martie 2021 la toate controlerele de domeniu Active Directory din pădure.
-
Implementați actualizarea 2021 din 12 aprilie cel puțin una sau mai multe săptămâni după pasul 1.
-
După ce s-au actualizat toate controlerele de domeniu Active Directory, așteptați cel puțin o săptămână întreagă , pentru a permite ca toate serviciile restante ale utilizatorului să fie permise pentru a expira, apoi să fie activată protecția completă, implementând modul de aplicare controler de domeniu Active Directory.
Note-
Dacă ați modificat orele de expirare ale biletului Kerberos service din setările implicite (implicit este 7 zile), atunci trebuie să așteptați cel puțin numărul de zile configurate în mediul dvs.
-
Acești pași Presupun că PerformTicketSignature nu a fost niciodată setat la 0 în mediul dvs. Dacă PerformTicketSignature a fost setată la 0, trebuie să vă deplasați la setarea 1 înainte de a trece la setarea 2 (mod de executare) și să așteptați cel puțin o săptămână pentru a permite ca toate serviciile restante pentru ca utilizatorul să aibă la dispoziție servicii de service Kerberos pentru self (S4U2self) pentru a expira. Nu trebuie să vă deplasați direct de la setarea 0 la setarea 2 (mod de executare).
-
Pasul 1: instalați actualizările Windows
Instalați actualizarea corespunzătoare 8 decembrie, 2020 Windows sau o actualizare Windows ulterioară pentru toate dispozitivele care găzduiesc rolul controlerului de domeniu Active Directory în pădure, inclusiv controlerele de domeniu doar în citire.
|
Produs Windows Server |
KO # |
Tip de actualizare |
|
Windows Server, versiunea 20H2 (instalare Server Core) |
Actualizare de securitate |
|
|
Windows Server, versiunea 2004 (Instalarea Server Core) |
Actualizare de securitate |
|
|
Windows Server, versiunea 1909 (Instalarea Server Core) |
Actualizare de securitate |
|
|
Windows Server, versiunea 1903 (Instalarea Server Core) |
Actualizare de securitate |
|
|
Windows Server 2019 (Instalarea Server Core) |
Actualizare de securitate |
|
|
Windows Server 2019 |
Actualizare de securitate |
|
|
Windows Server 2016 (Instalarea Server Core) |
Actualizare de securitate |
|
|
Windows Server 2016 |
Actualizare de securitate |
|
|
Windows Server 2012 R2 (Instalarea Server Core) |
Pachet lunar |
|
|
Numai securitate |
||
|
Windows Server 2012 R2 |
Pachet lunar |
|
|
Numai securitate |
||
|
Windows Server 2012 (Instalarea Server Core) |
Pachet lunar |
|
|
Numai securitate |
||
|
Windows Server 2012 |
Pachet lunar |
|
|
Numai securitate |
||
|
Windows Server 2008 R2 Service Pack 1 |
Pachet lunar |
|
|
Numai securitate |
||
|
Windows Server 2008 Service Pack 2 |
Pachet lunar |
|
|
Numai securitate |
Pasul 2: Activarea modului de executare
După ce toate dispozitivele care găzduiesc rolul controlerului de domeniu Active Directory au fost actualizate, așteptați cel puțin o săptămână întreagă pentru a permite ca toate tichetele de serviciu S4U2self Kerberos să expire. Apoi, activați protecția completă, implementând modul de executare. Pentru a face acest lucru, activați cheia de registry mod de executare.
Avertisment Pot apărea probleme grave dacă modificați registry incorect utilizând Registry Editor sau utilizând altă metodă. Aceste probleme pot necesita reinstalarea sistemului de operare. Microsoft nu poate garanta că aceste probleme pot fi rezolvate. Modificați registry pe propriul risc.
Notă Această actualizare introduce asistență pentru următoarea valoare de registry pentru a activa modul de executare. Această valoare de registry nu este creată prin instalarea acestei actualizări. Trebuie să adăugați manual această valoare de registry.
|
Subcheie de registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Valoarea |
PerformTicketSignature |
|
Tip de date |
REG_DWORD |
|
Date |
1: Activează modul de implementare. Remedierea este activată pe controlerul de domeniu, dar controlerul de domeniu Active Directory nu necesită ca tichetele de serviciu Kerberos să fie conforme cu remedierea. Acest mod adaugă suport pentru semnăturile de bilete pe controlerele de domeniu actualizate pentru CVE-2020-17049, dar controlerele de domeniu nu necesită semnarea biletelor. Acest lucru permite un mix de fază de implementare inițială (DCs actualizat la actualizarea inițială de implementare din decembrie) și controlerele de domeniu actualizate pentru a coexista. Cu toate controlerele de domeniu actualizate și la setarea 1, vor fi semnate toate biletele noi. În acest mod, biletele noi vor fi marcate ca fiind regenerabile. 2: Activează modul de executare acest lucru permite remedierea în modul obligatoriu în care toate domeniile trebuie să fie actualizate și toate controlerele de domeniu Active Directory necesită bilete de serviciu Kerberos cu semnături. Cu această setare, toate biletele trebuie să fie semnate pentru a fi considerate valabile. În acest mod, biletele vor fi din nou marcate ca regenerabile. 0: nerecomandat. Dezactivează semnăturile Kerberos service Tickets și domeniile dumneavoastră nu sunt protejate. Importante Setarea 0 nu este compatibilă cu setarea de executare 2. Erorile de autentificare intermitentă pot apărea dacă se aplică modul de executare mai târziu în timp ce domeniul este setat la 0. Recomandăm clienților să treacă la setarea 1 înainte de etapa de executare (cu cel puțin o săptămână înainte de aplicarea aplicării). |
|
Implicit |
1 (când cheia de registry nu este setată) |
|
Este necesară o repornire? |
Nu |
