|
ВНИМАНИЕ! Как уже было отмечено в этой статье, дата прину действия была изменена на 9 марта 2021 г. |
Аннотация
При использовании защищенных пользователей и ограниченного делегирования на основе ресурсов (RBCD) на контроллерах доменов Active Directory может существовать уязвимость безопасности. Дополнительные информацию об уязвимости безопасности см. в CVE-2020–16996.
|
Принять меры Чтобы защитить свою среду и предотвратить с простои, необходимо сделать следующее:
|
Время обновления
Эти Windows выпускаются в два этапа:
-
Начальный этап развертывания Windows обновлений, выпущенных 8 декабря 2020 г. или после них.
-
Этап обеспечения соблюдения Windows обновлений, выпущенных 9 марта 2021 г. или после них.
8 декабря 2020 г.: начальный этап развертывания
Начальный этап развертывания начинается с обновления Windows от 8 декабря 2020 г. и Windows для этапа применения. Эти и Windows изменения в Kerberos.
Этот выпуск:
-
Адреса CVE-2020–16996 (отключено по умолчанию).
-
Добавляет поддержку значения реестра NonForwardableDelegation, чтобы включить защиту на серверах контроллеров доменов Active Directory. По умолчанию значение не существует.
Решение состоит в установке обновлений Windows на всех устройствах с ролью контроллера домена Active Directory и контроллеров доменов, доступного только для чтения (КОТОРЫЕК), а затем включив режим принудительных действий.
9 марта 2021 г.: этап обеспечения соблюдения
Выпуск от 9 марта 2021 г. переходит к этапу реализации. На этапе принудительного применения изменения будут применяться к CVE-2020–16996. Контроллеры доменов Active Directory теперь будут работать в режиме принудительных действий, если только для ключа реестра режима принудительных действий не за установлено значение 1 (Отключено). Если за установлен параметр реестра режима принудительных параметров, этот параметр будет соблюдаться. Чтобы ходить в режим принудительных действий, все контроллеры доменов Active Directory должны иметь обновление от 8 декабря 2020 г. или более позднее обновление.
Руководство по установке
Перед установкой этого обновления
Для применения этого обновления необходимо установить следующие необходимые обновления: При использовании Windows обновления эти необходимые обновления будут предлагаться автоматически.
-
Необходимо установить обновление SHA-2(KB4474419)от 23 сентября 2019 г. или более позднее обновление SHA-2, а затем перезапустить устройство, прежде чем применять это обновление. Дополнительные сведения об обновлениях SHA-2 см. в требованиях к поддержке подписи кода SHA-2 версии 2019для Windows и WSUS.
-
Для Windows Server 2008 R2 с пакетом обновления 1 (SP1) необходимо установить обновление стека обслуживания(KB4490628)от 12 марта 2019 г. После установки обновления KB4490628 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последнем обновлении SSU см. в | Последние обновления для стека обслуживания.
-
Для Windows Server 2008 с пакетом обновления 2 (SP2) необходимо установить обновление стека обслуживания(KB4493730)от 9 апреля 2019 г. После установки обновления KB4493730 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последних обновлениях SSU см. в | Последние обновления для стека обслуживания.
-
Клиентам необходимо приобрести расширенное обновление системы безопасности (ESU) для локальной версии Windows Server 2008 с SP2 или Windows Server 2008 R2 с SP1 после окончания расширенной поддержки 14 января 2020 г. Клиенты, которые приобрели ESU, должны следовать процедурам ВК4522133, чтобы продолжать получать обновления для системы безопасности. Дополнительные сведения о ESU и поддерживаемых выпусках см. в KB4497181.
Важно!После установки этих необходимых обновлений необходимо перезапустить устройство.
Установка обновления
Чтобы устранить уязвимости безопасности, установите обновления Windows и в режиме принудительных действий, вы предприняв указанные ниже действия.
|
Предупреждение. Периодически возникают проблемы с проверкой подлинности, если эти Windows и значение реестра несогласованно в одном или обоих из следующих сценариев:
Важно! Обновления Windows и значение реестра должны согласованно применяться на контроллерах доменов ALL Active Directory в вашей среде. |
Шаг 1. Установка Windows обновления
Установите обновление от 8 декабря 2020 г. Windows или более поздней версии Windows на все устройства, на которых в лесу есть роль контроллера домена Active Directory, включая контроллеры доменов, доступную только для чтения.
|
Windows Server |
КБ # |
Тип обновления |
|
Windows Server версии 20H2 (установка основного сервера) |
Обновление системы безопасности |
|
|
Windows Server версии 2004 (установка Core сервера) |
Обновление системы безопасности |
|
|
Windows Server версии 1909 (установка Core сервера) |
Обновление системы безопасности |
|
|
Windows Server версии 1903 (установка Core сервера) |
Обновление системы безопасности |
|
|
Windows Server 2019 (установка Core сервера) |
Обновление системы безопасности |
|
|
Windows Server 2019 |
Обновление системы безопасности |
|
|
Windows Server 2016 (установка Core сервера) |
Обновление системы безопасности |
|
|
Windows Server 2016 |
Обновление системы безопасности |
|
|
Windows Server 2012 R2 (установка Core сервера) |
Ежемесячный скат |
|
|
Только безопасность |
||
|
Windows Server 2012 R2 |
Ежемесячный скат |
|
|
Только безопасность |
||
|
Windows Server 2012 (установка Core сервера) |
Ежемесячный скат |
|
|
Только безопасность |
||
|
Windows Server 2012 |
Ежемесячный скат |
|
|
Только безопасность |
||
|
Windows Server 2008 R2 с пакетом обновления 1 |
Ежемесячный скат |
|
|
Только безопасность |
||
|
Пакет обновления 2 (SP2) для Windows Server 2008 |
Ежемесячный скат |
|
|
Только безопасность |
Шаг 2. Включить режим обеспечения соблюдения
После обновления всех устройств, на которых установлена роль контроллера домена Active Directory, подождите по крайней мере целый день, чтобы разрешить срок действия всех непогашенных лицензий на службу Для пользователя (S4U2self) Kerberos. Затем в этой ситуации можно включить полную защиту, развернув режим обеспечения защиты. Для этого в enable the Enforcement mode registry (Режим принудительных мер).
Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Эти проблемы могут привести к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует, что эти проблемы удастся решить. При изменении реестра полагайтесь на свой опыт и знания.
Примечание. Это значение реестра не создается при установке этого обновления. Это значение реестра необходимо добавить вручную.
|
Подменю реестра |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Значение |
NonForwardableDelegation |
|
Тип данных |
REG_DWORD |
|
Данные |
1.Отключает режим обеспечения соблюдения. 0:включает режим принуживания. Это защищенный штат. |
|
По умолчанию |
1 |
|
Требуется ли перезапуск? |
Нет |
Примечания о значенииреестраNonForwardableDelegation:
-
Если значение реестра задается, оно имеет приоритет над параметром режима принудительных мер, включенным в обновления от 9 марта 2021 г. Windows.
-
Если для реестра за установлено значение 1 (Disable), переад управление будет разрешено для билетов в службу Kerberos, которые НЕ помечены как переадрежимые.
-
Если для реестра за установлено значение 0 (Включить), переад управление не будет разрешено для билетов в службу Kerberos, которые НЕ помечены как переадрежимые.
-
-
Если ваш домен включает контроллеры Windows Server 2008 R2 или более ранних версии Active Directory, вам не нужно устанавливать режим принудительных действий, так как эти контроллеры доменов не поддерживают RBCD.
-
Некорректное обновление всех контроллеров доменов Active Directory при включив режим принудительных действий, приведет к периодическим сбоям делегирования служб.
-
Перед настройкой режима обеспечения соблюдения:
-
Все контроллеры доменов Active Directory должны быть обновлены с обновлением от 8 декабря 2020 г. Windows или более поздней версии Windows и
-
Срок действия всех непогашенных билетов на службу S4USelf Kerberos истек через день после завершения развертывания Windows на все контроллеры доменов Active Directory.
-
Дополнительные факторы
Если эта защита включена, она объединяет логику Resource-Based делегирования с ограничениями (RBCD) с исходным делегирования с ограничениями. Это может привести к проблемам в двух следующих сценариях:
-
В одной службе одновременно используется исходное делегирования (KCD) Kerberos без перехода на одну целевую службу при использовании RBCD с переходом на другой протокол. После этого изменения отказ от передачи протокола будет применяться к обоим стилям делегирования.
-
RBCD используется в домене, который использует контроллеры домена, которые не обновляются с CVE-2020–16996 или используют более старые версии Windows Server (более старые, чем Window Server 2012), которые не имеют доступного обновления для CVE-2020–16996. Не обновимые ключевые центры рассылки (KDCs) не помечают билеты службы S4USelf Kerberos, так как в них будет отказано в делегированиях, а при переходе между протоколами будет отказано.
