Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

DÔLEŽITÉ Dátum režimu vynútenia, ako je uvedené vyššie v tomto článku, sa zmenil na 9. marca 2021. 

Súhrn

Ak používate protected Users and Resource-Based Constrained Delegation (RBCD), na ovládačoch domén služby Active Directory môže existovať nedostatočné zabezpečenie. Ďalšie informácie o nedostatočného zabezpečenia nájdete v téme CVE-2020-16996.

Take Action

Ak chcete chrániť svoje prostredie a zabrániť výpadkom, musíte vykonať nasledujúce kroky:

  1. Aktualizujte všetky zariadenia, ktoré hosťujú rolu radiča domény služby Active Directory, tak, že nainštalujete aktualizáciu z 8. decembra 2020 Windows alebo novšiu Windows aktualizáciou. Je potrebné mať na pamäti, že Windows aktualizácia úplne nezní neobsahuje problém so zabezpečením. Musíte vykonať Krok 2.

  2. Povoľte režim vynútenia vo všetkých radičoch domén služby Active Directory. Od 9. marca 2021 možno režim vynútenia zapnúť vo všetkých ovládačoch Windows domény.

Časovanie aktualizácií

Tieto Windows aktualizácie budú vydané v dvoch fázach:

  • Počiatočná fáza nasadenia pre Windows vydané 8. decembra 2020 alebo po tomto dátume.

  • Fáza vynútenia pre Windows vydané 9. marca 2021 alebo po tomto dátume.

8. decembra 2020: Fáza úvodného nasadenia

Počiatočná fáza nasadenia sa začína aktualizáciou Windows vydanou 8. decembra 2020 a pokračuje neskoršou Windows aktualizáciou pre fázu vynútenia. Tieto a novšie Windows aktualizácie protokolu Kerberos.

Toto vydanie:

  • Adresy CVE-2020-16996 (predvolene vypnuté).

  • Pridá podporu pre hodnotu databázy Registry NonForwardableDelegation, ktorá povolí ochranu doménových radičových serverov služby Active Directory. Hodnota predvolene neexistuje.

Obmedzenie sa skladá z inštalácie aktualizácií pre Windows vo všetkých zariadeniach, ktoré hosťovať rolu radiča domény služby Active Directory a radiče domén iba na čítanie (RODCs) a následne sa zapína režim vynútenia.

9. marca 2021: Fáza presadzovania

Vydanie z 9. marca 2021 sa premenuje na fázu vynútenia. Fáza vynútenia vynúti zmeny týkajúce sa CVE-2020-16996. Radiče domén služby Active Directory budú teraz v režime vynútenia, pokiaľ kľúč databázy Registry režimu vynútenia nie je nastavený na hodnotu 1 (Vypnuté). Ak je nastavený kľúč databázy Registry Režimu vynútenia, toto nastavenie bude ocenené. V režime vynútenia sa vyžaduje, aby všetky radiče domén služby Active Directory mali nainštalovanú aktualizáciu z 8. decembra 2020 alebo novšiu aktualizáciu.

Pokyny na inštaláciu

Pred inštaláciou tejto aktualizácie

Pred použitím tejto aktualizácie musíte mať nainštalované nasledujúce požadované aktualizácie. Ak používate aktualizáciu Windows, tieto povinné aktualizácie sa budú ponúkať automaticky podľa potreby.

  • Musíte mať nainštalovanú aktualizáciu SHA-2(KB4474419),ktorá je pred použitím tejto aktualizácie nainštalovaná 23. septembra 2019 alebo novšia aktualizácia SHA-2. Následne zariadenie reštartujte. Ďalšie informácie o aktualizáciách SHA-2 nájdete v téme Požiadavky podpory podpisovania kódov SHA-2 na rok 2019 pre Windows a WSUS.

  • Pre Windows Server 2008 R2 SP1 je potrebné mať nainštalovanú aktualizáciu zásobníka údržby (SSU)(KB4490628),ktorá je dátumom 12. marca 2019. Po nainštalovaní aktualizácie KB4490628 odporúčame nainštalovať najnovšiu aktualizáciu SSU. Ďalšie informácie o najnovšej aktualizácii SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníka údržby.

  • Pre Windows Server 2008 SP2 je potrebné mať nainštalovanú aktualizáciu zásobníka údržby (SSU)(KB4493730),ktorá je dátumom 9. apríla 2019. Po nainštalovaní aktualizácie KB4493730 odporúčame nainštalovať najnovšiu aktualizáciu SSU. Ďalšie informácie o najnovších aktualizáciách SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníka údržby.

  • Zákazníci si musia zakúpiť rozšírenú aktualizáciu zabezpečenia (ESU) pre lokálne verzie Windows Server 2008 SP2 alebo Windows Server 2008 R2 SP1 po ukončení rozšírenej podpory 14. januára 2020. Zákazníci, ktorí si zakúpili ESU, musia postupovať podľa postupu v článku KB4522133, aby aj naďalej dostávali aktualizácie zabezpečenia. Ďalšie informácie o ESU a vydaniach, ktoré sú podporované, nájdete v článku KB4497181.

DôležitéPo inštalácii týchto požadovaných aktualizácií je potrebné reštartovať zariadenie.

Inštalácia aktualizácie

Na vyriešenie nedostatočného zabezpečenia nainštalujte Windows a povoľte režim vynútenia pomocou týchto krokov.

Upozornenie: Občasné problémy s overovaním sa môžu vyskytnúť, ak sú Windows aktualizácie a hodnota databázy Registry použité nekonzistentne v jednom alebo oboch nasledujúcich scenároch:

  • Aktualizácia Windows z 8. decembra 2020 je nekonzistentne nainštalovaná na ovládačoch domén služby Active Directory a hodnota NonForwardableDelegation je na týchto ovládačoch domén nastavená na hodnotu 0 nekonzistentne.

  • Aktualizácia Windows z 9. marca 2021 je nainštalovaná nekonzistentne na radičoch domén služby Active Directory, ktoré sú implicitne povolené tak, že najprv nainštalujete aktualizáciu Windows z 8. decembra 2020 vo všetkých Windows Serveri 2008 R2 alebo starších radičoch domén služby Active Directory, ktoré sú umiestnené v doménach Caller, Intermediate alebo Target.

                Dôležité Oba Windows aj hodnota databázy Registry sa musia vo vašom prostredí konzistentne používať na všetkých radičoch domén služby Active Directory.


Krok 1: Inštalácia Windows aktualizácie

Nainštalujte aktualizáciu z 8. decembra 2020 Windows alebo novšiu aktualizáciu pre Windows na všetky zariadenia, ktoré hosťovať rolu radiča domény služby Active Directory v doménovej štruktúre, vrátane ovládačov domén iba na čítanie.

Windows serverový produkt

kB #

Typ aktualizácie

Windows Server, verzia 20H2 (Základná inštalácia servera)

4592438

Aktualizácia zabezpečenia

Windows Server, verzia 2004 (Server Core inštalácia)

4592438

Aktualizácia zabezpečenia

Windows Server, verzia 1909 (Server Core inštalácia)

4592449

Aktualizácia zabezpečenia

Windows Server, verzia 1903 (Server Core inštalácia)

4592449

Aktualizácia zabezpečenia

Windows Server 2019 (Základná inštalácia servera)

4592440

Aktualizácia zabezpečenia

Windows Server 2019

4592440

Aktualizácia zabezpečenia

Windows Server 2016 (základná inštalácia servera)

4593226

Aktualizácia zabezpečenia

Windows Server 2016

4593226

Aktualizácia zabezpečenia

Windows Server 2012 R2 (Server Core inštalácia)

4592484

Mesačná súhrnná

4592495

Iba zabezpečenie

Windows Server 2012 R2

4592484

Mesačná súhrnná

4592495

Iba zabezpečenie

Windows Server 2012 (základná inštalácia servera)

4592468

Mesačná súhrnná

4592497

Iba zabezpečenie

Windows Server 2012

4592468

Mesačná súhrnná

4592497

Iba zabezpečenie

Windows Server 2008 R2 Service Pack 1

4592471

Mesačná súhrnná

4592503

Iba zabezpečenie

Windows Server 2008 Service Pack 2

4592498

Mesačná súhrnná

4592504

Iba zabezpečenie

Krok 2: Zapnutie režimu vynútenia

Po aktualizovaní všetkých zariadení, ktoré hosťujú rolu radiča domény služby Active Directory, počkajte aspoň jeden deň, kým sa neuplynie platnosť nevyrovnanej služby pre používateľa na self (S4U2self) lístok služby Kerberos. Potom povoľte úplnú ochranu nasadením režimu vynútenia. Ak to chcete urobiť, povoľte kľúč databázy Registry Režimu vynútenia.

Upozornenie: Ak databázu Registry pomocou Editora databázy Registry alebo iným spôsobom upravíte nesprávne, môžu sa vyskytnúť závažné problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nemôže zaručiť, že tieto problémy sa budú môcť vyriešiť. Databázu Registry upravujete na vlastné riziko.

Poznámka: Táto hodnota databázy Registry sa nevytvorí nainštalovaním tejto aktualizácie. Túto hodnotu databázy Registry je potrebné pridať manuálne.

Podkľúč databázy Registry

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Hodnota

NonForwardableDelegation

Typ údajov

REG_DWORD

Údaje

1:Vypne režim vynútenia.  

0:Zapne režim vynútenia. Ide o chránený stav.

Predvolené

1

Vyžaduje sa reštartovanie?

Nie


Poznámky k hodnote databázy Registry nonForwardableDelegation:

  • Ak je hodnota databázy Registry nastavená, bude mať prednosť pred nastavením režimu vynútenia, ktoré je súčasťou aktualizácií z 9. Windows marca 2021.

    • Ak je hodnota databázy Registry nastavená na hodnotu 1 (Zakázať), preposielanie bude povolené v lístkach služieb Kerberos, ktoré NIE sú označené ako preposielateľné.

    • Ak je hodnota databázy Registry nastavená na hodnotu 0 (Enable), preposielanie nebude povolené v lístkach služieb Kerberos, ktoré NIE sú označené ako preposielateľné.

  • Ak vaša doména obsahuje radiče domén Windows Server 2008 R2 alebo staršiu verziu služby Active Directory, nie je potrebné nastavovať režim vynútenia, pretože tieto radiče domén nepodporuje RBCD.

  • V prípade zlyhania neustále aktualizácie všetkých ovládačov domény služby Active Directory pri zapnutí režimu vynútenia sa môžu zobraziť občasné zlyhania delegovania služby.

  • Pred nastavením režimu vynútenia:

    • Všetky radiče domén služby Active Directory musia byť aktualizované aktualizáciou 8. decembra 2020 Windows alebo novšou aktualizáciou Windows a

    • Všetky nevybavené lístky služby S4USelf Kerberos musia uplyli tak, že po dokončení inštalácie balíka Windows na všetky radiče domén služby Active Directory vypršia približne deň.

Ďalšie informácie

Keď je táto ochrana povolená, zjedzuje logiku pre Resource-Based Constrained Delegation (RBCD) s pôvodným delegovaním v rámci obmedzeného prostredia. To môže spôsobiť problémy v týchto dvoch scenároch:

  • Jedna služba súčasne používa pôvodné delegovanie Kerberos Constrained Delegation (KCD) bez prechodu protokolu na jeden cieľ, pričom používa RBCD s prechodom protokolu na iný. Po tejto zmene sa za server zalomenia prechodu protokolu použije na oba štýly delegovania.

  • RBCD sa používa v doméne, ktorá používa radiče domén, ktoré nie sú aktualizované s cve-2020-16996 alebo so staršími verziami Windows Servera (starších ako Window Server 2012), ktoré nemajú k dispozícii aktualizáciu CVE-2020-16996. Neaktualizujúce kľúčové distribučné centrá nebudú príznakom S4USelf Kerberos v prípade delegovania a prechodu protokolu odmietnuté.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×