Важно: Даты выпусков, ранее указанные в этой статье, изменились. Обратите внимание на новые даты выпуска, указанные в разделах "Принять меры" и "Время этих обновлений Windows".
Аннотация
Функция безопасности позволяет обойти уязвимости, так как Центр распространения ключевых данных (KDC) определяет, можно ли использовать билет в службу Kerberos для делегирования через делегирование с помощью ограниченного делегирования Kerberos. Чтобы использовать эту уязвимость, скомпрометированная служба, настроенная на использование KCD, может подделыть билет службы Kerberos, который не является допустимым для делегирования, чтобы принудительно принять его. В этих обновлениях для Windows эта уязвимость решается, изменяя степень проверки билетов в службу проверки Kerberos, используемых с KCD.
Подробнее об этой уязвимости см. в CVE-2020–17049.
Принять меры Чтобы защитить свою среду и предотвратить с простои, выполните все указанные здесь действия.
|
Время обновления Windows
Эти обновления Windows выпускаются в три этапа:
-
Начальный этап развертывания обновлений Windows, выпущенных 8 декабря 2020 г. или более новых.
-
Второй этап развертывания, который удаляет параметр PerformTicketSignature0 и требует установки 1 или 2,13 апреля 2021 г. или после этого.
-
Этап обеспечения обеспечения безопасности для обновлений Windows, выпущенных 13 июля 2021 г. или после этого.
8 декабря 2020 г.: этап начального развертывания
Начальный этап развертывания начинается с обновления Windows, выпущенного 8 декабря 2020 г., и продолжается с последующим обновлением Windows для этапа применения. Эти и более поздние обновления Windows вносют изменения в Kerberos. Это обновление от 8 декабря 2020 г. содержит исправления всех известных проблем, которые впервые были введены в выпуске CVE-2020–17049 от 10 ноября 2020 г. Это обновление также поддерживает Windows Server 2008 с sp2 и Windows Server 2008 R2.
Этот выпуск:
-
Адреса CVE-2020-17049 (по умолчанию — в режиме развертывания).
-
Добавляет поддержку значения PerformTicketSignature реестра, чтобы включить защиту на серверах контроллеров доменов Active Directory. По умолчанию это значение не существует.
Это включает установку обновлений Windows на всех устройствах с ролью контроллера домена Active Directory и контроллеров домена, доступного только для чтения ,а затем включив режим принудительных действий.
13 апреля 2021г.: второй этап развертывания
Второй этап развертывания начинается с обновления Windows, выпущенного 13 апреля 2021 г. Этот этап удаляет параметр PerformTicketSignature0. Установка параметра PerformTicketSignature до 0 после установки обновления будет иметь такой же эффект, что и для параметра PerformTicketSignature1. Компьютеры будут работать в режиме развертывания.
Примечания.
-
Этот этап не требуется, если в вашей среде не было задано0. Этот этап помогает убедиться, что клиенты с параметром PerformTicketSignature0 перемещаются в параметр 1 до этапа реализации.
-
После развертывания обновлений от 13 апреля 2021 г. задан параметр PerformTicketSignature1 позволит возобновлять возможности для билетов в службу. Это изменение поведения в обновлениях Windows за апрель 2021 г. при установке параметра PerformTicketSignature на 1, из-за чего не были возобновляться билеты в службу.
-
В этом обновлении предполагается, что все контроллеры домена обновлены в обновлениях от 8 декабря 2020 г. или более поздних версий.
-
После установки этого обновления и вручную или программным путем установка контроллеров домена PerformTicketSignature1 или более высокого уровня неподдержденные контроллеры доменов Windows Server больше не будут работать с поддерживаемыми контроллерами доменов. К ним относятся Windows Server 2008 и Windows Server 2008 R2 без расширенных обновлений системы безопасности (ESU) и Windows Server 2003.
13 июля 2021г.: этап обеспечения соблюдения
Выпуск от 13 июля 2021 г. переходит к этапу реализации. На этапе применения изменения будут применяться к CVE-2020–17049. Контроллеры домена Active Directory теперь работают в режиме принудительных действий. Для режима обеспечения безопасности все контроллеры домена Active Directory должны иметь обновление от 8 декабря 2020 г. или более позднее обновление Windows. В настоящее время параметры ключа реестра PerformTicketSignature будут игнорироваться, а режим принудительных параметров нельзя переопрепретить.
Руководство по установке
Перед установкой этого обновления
Для применения этого обновления должны быть установлены следующие необходимые обновления: Если вы используете Обновление Windows, эти необходимые обновления будут предлагаться автоматически.
-
Необходимо установить обновление SHA-2(KB4474419)от 23 сентября 2019 г. или более позднее обновление SHA-2, а затем перезапустить устройство перед его применением. Дополнительные сведения об обновлениях SHA-2 см. в требованиях к поддержке подписи кода SHA-2 2 для Windows и WSUS.
-
Для Windows Server 2008 R2 с пакетом обновления 1 (SP1) необходимо установить обновление стеком обслуживания(KB4490628)от 12 марта 2019 г. После установки обновления KB4490628 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последнем обновлении SSU см. в | Последние обновления стеком обслуживания.
-
Для Windows Server 2008 с пакетом обновления 2 (SP2) необходимо установить обновление стеком обслуживания(KB4493730)от 9 апреля 2019 г. После установки обновления KB4493730 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последних обновлениях SSU см. в | Последние обновления стеком обслуживания.
-
Клиентам необходимо приобрести расширенное обновление для системы безопасности (ESU) для локальной версии Windows Server 2008 с sp2 или Windows Server 2008 R2 с sp1 после окончания расширенной поддержки 14 января 2020 г. Клиенты, которые приобрели ESU, должны следовать процедуре KB4522133, чтобы продолжать получать обновления для системы безопасности. Дополнительные сведения об ESU и поддерживаемых выпусках см. в KB4497181.
Важно!После установки этих необходимых обновлений необходимо перезапустить устройство.
Установка всех обновлений
Чтобы устранить уязвимость в системе безопасности, установите все обновления Windows и в режиме обеспечения безопасности:
-
Развернет по крайней мере одно обновление с 8 декабря 2020 г. по 9 марта 2021 г. на всех контроллерах доменов Active Directory в лесу.
-
Развернем обновление от 12 апреля 2021 г. по крайней мере через одну или несколько недель после шага 1.
-
После обновления всех контроллеров домена Active Directory подождите как минимум неделю, чтобы разрешить срок действия всех незавершенных билетов службы для пользователя на самосохранение (S4U2self) Kerberos, а затем включить полную защиту, развернив режим принудительных действий контроллера домена Active Directory.
Примечания-
Если вы изменили срок действия билета службы Kerberos в настройках по умолчанию (по умолчанию это 7 дней), необходимо подождать по крайней мере такое количество дней, как настроено в вашей среде.
-
В этих действиях предполагается, что для действия PerformTicketSignature в вашей среде не было установлено 0. Если параметр PerformTicketSignature имеет 0,перед переходом к параметру 2 (режимом обеспечения) необходимо перейти к параметру 1 и дождаться истечения срока действия всех непогашенных лицензий на службу для пользователей (S4U2self) Kerberos. Переходить непосредственно от 0 к параметру 2 (режимы обеспечения соблюдения) не следует.
-
Шаг 1. Установка обновлений Windows
Установите соответствующее обновление Windows от 8 декабря 2020 г. или более поздней версии на все устройства с ролью контроллера домена Active Directory в лесу, включая контроллеры доменов, доступные только для чтения.
Продукт Windows Server |
КБ # |
Тип обновления |
Windows Server версии 20H2 (установка основных серверов) |
Обновление для системы безопасности |
|
Windows Server версии 2004 (установка core сервера) |
Обновление для системы безопасности |
|
Windows Server версии 1909 (установка core сервера) |
Обновление для системы безопасности |
|
Windows Server версии 1903 (установка core сервера) |
Обновление для системы безопасности |
|
Windows Server 2019 (установка основных серверов) |
Обновление для системы безопасности |
|
Windows Server 2019 |
Обновление для системы безопасности |
|
Windows Server 2016 (установка основных серверов) |
Обновление для системы безопасности |
|
Windows Server 2016 |
Обновление для системы безопасности |
|
Windows Server 2012 R2 (установка основных серверов) |
Monthly Rollup |
|
Только безопасность |
||
Windows Server 2012 R2 |
Monthly Rollup |
|
Только безопасность |
||
Windows Server 2012 (установка основных серверов) |
Monthly Rollup |
|
Только безопасность |
||
Windows Server 2012 |
Monthly Rollup |
|
Только безопасность |
||
Windows Server 2008 R2 Пакет обновления 1 |
Monthly Rollup |
|
Только безопасность |
||
Пакет обновления 2 (SP2) для Windows Server 2008 |
Monthly Rollup |
|
Только безопасность |
Шаг 2. Включить режим обеспечения соблюдения
После обновления всех устройств с ролью контроллера домена Active Directory подождите как минимум неделю, чтобы срок действия всех непогашенных билетов в службу S4U2self Kerberos истек. Затем можно включить полную защиту, разверняя режим обеспечения защиты. Для этого в режиме обеспечения соблюдения данной ситуации в реестре в включить режим обеспечения соблюдения данной темы.
Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Эти проблемы могут привести к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует, что эти проблемы удастся решить. При изменении реестра полагайтесь на свой опыт и знания.
Примечание. Это обновление включает поддержку следующего значения реестра, чтобы включить режим принудительных мер. Это значение реестра не создается при установке этого обновления. Это значение реестра необходимо добавить вручную.
Подменю реестра |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Значение |
PerformTicketSignature |
Тип данных |
REG_DWORD |
Данные |
1.Включает режим развертывания. Исправление включено на контроллере домена, но контроллер домена Active Directory не требует, чтобы для входа в службу Kerberos соответствовало исправление. Этот режим добавляет поддержку подписей билетов на обновленных контроллерах домена CVE-2020–17049, но контроллеры домена не требуют на них подписи. Это обеспечивает сочетание этапов начального развертывания (DCS, обновленных до обновления начального развертывания за декабрь) и обновленных контроллеров доменов для совместной работы. Когда все контроллеры домена будут обновлены и при установке 1,будут подписаны все новые билеты. В этом режиме новые билеты помечались как возобновляемые. 2.Включает режим обеспечения соблюдения. Это позволяет исправить ошибку в обязательном режиме, когда все домены необходимо обновить, а всем контроллерам доменов Active Directory требуются билеты в службу Kerberos с подписями. В этом параметре все билеты должны быть подписаны, чтобы считаться действительными. В этом режиме билеты снова помечались как возобновляемые. 0. Не рекомендуется. Отключает подписи для билетов в службу Kerberos, и ваши домены не защищены. Важно! Параметр 0 несовместим с параметром 2. Периодические сбои проверки подлинности могут возникать, если режим обеспечения безопасности применяется на более поздней стадии, когда для домена установлено 0. Рекомендуем клиентам перейти к настройке 1 до этапа применения (по крайней мере за неделю до применения). |
По умолчанию |
1 (если ключ реестра не за установлен) |
Требуется ли перезапуск? |
Нет |