DÔLEŽITÉ Dátum režimu vynútenia, ako je uvedené vyššie v tomto článku, sa zmenil na 9. marca 2021. |
Súhrn
Ak používate protected Users and Resource-Based Constrained Delegation (RBCD), na ovládačoch domén služby Active Directory môže existovať nedostatočné zabezpečenie. Ďalšie informácie o nedostatočného zabezpečenia nájdete v téme CVE-2020-16996.
Take Action Ak chcete chrániť svoje prostredie a zabrániť výpadkom, musíte vykonať nasledujúce kroky:
|
Časovanie aktualizácií
Tieto Windows aktualizácie budú vydané v dvoch fázach:
-
Počiatočná fáza nasadenia pre Windows vydané 8. decembra 2020 alebo po tomto dátume.
-
Fáza vynútenia pre Windows vydané 9. marca 2021 alebo po tomto dátume.
8. decembra 2020: Fáza úvodného nasadenia
Počiatočná fáza nasadenia sa začína aktualizáciou Windows vydanou 8. decembra 2020 a pokračuje neskoršou Windows aktualizáciou pre fázu vynútenia. Tieto a novšie Windows aktualizácie protokolu Kerberos.
Toto vydanie:
-
Adresy CVE-2020-16996 (predvolene vypnuté).
-
Pridá podporu pre hodnotu databázy Registry NonForwardableDelegation, ktorá povolí ochranu doménových radičových serverov služby Active Directory. Hodnota predvolene neexistuje.
Obmedzenie sa skladá z inštalácie aktualizácií pre Windows vo všetkých zariadeniach, ktoré hosťovať rolu radiča domény služby Active Directory a radiče domén iba na čítanie (RODCs) a následne sa zapína režim vynútenia.
9. marca 2021: Fáza presadzovania
Vydanie z 9. marca 2021 sa premenuje na fázu vynútenia. Fáza vynútenia vynúti zmeny týkajúce sa CVE-2020-16996. Radiče domén služby Active Directory budú teraz v režime vynútenia, pokiaľ kľúč databázy Registry režimu vynútenia nie je nastavený na hodnotu 1 (Vypnuté). Ak je nastavený kľúč databázy Registry Režimu vynútenia, toto nastavenie bude ocenené. V režime vynútenia sa vyžaduje, aby všetky radiče domén služby Active Directory mali nainštalovanú aktualizáciu z 8. decembra 2020 alebo novšiu aktualizáciu.
Pokyny na inštaláciu
Pred inštaláciou tejto aktualizácie
Pred použitím tejto aktualizácie musíte mať nainštalované nasledujúce požadované aktualizácie. Ak používate aktualizáciu Windows, tieto povinné aktualizácie sa budú ponúkať automaticky podľa potreby.
-
Musíte mať nainštalovanú aktualizáciu SHA-2(KB4474419),ktorá je pred použitím tejto aktualizácie nainštalovaná 23. septembra 2019 alebo novšia aktualizácia SHA-2. Následne zariadenie reštartujte. Ďalšie informácie o aktualizáciách SHA-2 nájdete v téme Požiadavky podpory podpisovania kódov SHA-2 na rok 2019 pre Windows a WSUS.
-
Pre Windows Server 2008 R2 SP1 je potrebné mať nainštalovanú aktualizáciu zásobníka údržby (SSU)(KB4490628),ktorá je dátumom 12. marca 2019. Po nainštalovaní aktualizácie KB4490628 odporúčame nainštalovať najnovšiu aktualizáciu SSU. Ďalšie informácie o najnovšej aktualizácii SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníka údržby.
-
Pre Windows Server 2008 SP2 je potrebné mať nainštalovanú aktualizáciu zásobníka údržby (SSU)(KB4493730),ktorá je dátumom 9. apríla 2019. Po nainštalovaní aktualizácie KB4493730 odporúčame nainštalovať najnovšiu aktualizáciu SSU. Ďalšie informácie o najnovších aktualizáciách SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníka údržby.
-
Zákazníci si musia zakúpiť rozšírenú aktualizáciu zabezpečenia (ESU) pre lokálne verzie Windows Server 2008 SP2 alebo Windows Server 2008 R2 SP1 po ukončení rozšírenej podpory 14. januára 2020. Zákazníci, ktorí si zakúpili ESU, musia postupovať podľa postupu v článku KB4522133, aby aj naďalej dostávali aktualizácie zabezpečenia. Ďalšie informácie o ESU a vydaniach, ktoré sú podporované, nájdete v článku KB4497181.
DôležitéPo inštalácii týchto požadovaných aktualizácií je potrebné reštartovať zariadenie.
Inštalácia aktualizácie
Na vyriešenie nedostatočného zabezpečenia nainštalujte Windows a povoľte režim vynútenia pomocou týchto krokov.
Upozornenie: Občasné problémy s overovaním sa môžu vyskytnúť, ak sú Windows aktualizácie a hodnota databázy Registry použité nekonzistentne v jednom alebo oboch nasledujúcich scenároch:
Dôležité Oba Windows aj hodnota databázy Registry sa musia vo vašom prostredí konzistentne používať na všetkých radičoch domén služby Active Directory. |
Krok 1: Inštalácia Windows aktualizácie
Nainštalujte aktualizáciu z 8. decembra 2020 Windows alebo novšiu aktualizáciu pre Windows na všetky zariadenia, ktoré hosťovať rolu radiča domény služby Active Directory v doménovej štruktúre, vrátane ovládačov domén iba na čítanie.
Windows serverový produkt |
kB # |
Typ aktualizácie |
Windows Server, verzia 20H2 (Základná inštalácia servera) |
Aktualizácia zabezpečenia |
|
Windows Server, verzia 2004 (Server Core inštalácia) |
Aktualizácia zabezpečenia |
|
Windows Server, verzia 1909 (Server Core inštalácia) |
Aktualizácia zabezpečenia |
|
Windows Server, verzia 1903 (Server Core inštalácia) |
Aktualizácia zabezpečenia |
|
Windows Server 2019 (Základná inštalácia servera) |
Aktualizácia zabezpečenia |
|
Windows Server 2019 |
Aktualizácia zabezpečenia |
|
Windows Server 2016 (základná inštalácia servera) |
Aktualizácia zabezpečenia |
|
Windows Server 2016 |
Aktualizácia zabezpečenia |
|
Windows Server 2012 R2 (Server Core inštalácia) |
Mesačná súhrnná |
|
Iba zabezpečenie |
||
Windows Server 2012 R2 |
Mesačná súhrnná |
|
Iba zabezpečenie |
||
Windows Server 2012 (základná inštalácia servera) |
Mesačná súhrnná |
|
Iba zabezpečenie |
||
Windows Server 2012 |
Mesačná súhrnná |
|
Iba zabezpečenie |
||
Windows Server 2008 R2 Service Pack 1 |
Mesačná súhrnná |
|
Iba zabezpečenie |
||
Windows Server 2008 Service Pack 2 |
Mesačná súhrnná |
|
Iba zabezpečenie |
Krok 2: Zapnutie režimu vynútenia
Po aktualizovaní všetkých zariadení, ktoré hosťujú rolu radiča domény služby Active Directory, počkajte aspoň jeden deň, kým sa neuplynie platnosť nevyrovnanej služby pre používateľa na self (S4U2self) lístok služby Kerberos. Potom povoľte úplnú ochranu nasadením režimu vynútenia. Ak to chcete urobiť, povoľte kľúč databázy Registry Režimu vynútenia.
Upozornenie: Ak databázu Registry pomocou Editora databázy Registry alebo iným spôsobom upravíte nesprávne, môžu sa vyskytnúť závažné problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nemôže zaručiť, že tieto problémy sa budú môcť vyriešiť. Databázu Registry upravujete na vlastné riziko.
Poznámka: Táto hodnota databázy Registry sa nevytvorí nainštalovaním tejto aktualizácie. Túto hodnotu databázy Registry je potrebné pridať manuálne.
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Hodnota |
NonForwardableDelegation |
Typ údajov |
REG_DWORD |
Údaje |
1:Vypne režim vynútenia. 0:Zapne režim vynútenia. Ide o chránený stav. |
Predvolené |
1 |
Vyžaduje sa reštartovanie? |
Nie |
Poznámky k hodnote databázy
Registry nonForwardableDelegation:
-
Ak je hodnota databázy Registry nastavená, bude mať prednosť pred nastavením režimu vynútenia, ktoré je súčasťou aktualizácií z 9. Windows marca 2021.
-
Ak je hodnota databázy Registry nastavená na hodnotu 1 (Zakázať), preposielanie bude povolené v lístkach služieb Kerberos, ktoré NIE sú označené ako preposielateľné.
-
Ak je hodnota databázy Registry nastavená na hodnotu 0 (Enable), preposielanie nebude povolené v lístkach služieb Kerberos, ktoré NIE sú označené ako preposielateľné.
-
-
Ak vaša doména obsahuje radiče domén Windows Server 2008 R2 alebo staršiu verziu služby Active Directory, nie je potrebné nastavovať režim vynútenia, pretože tieto radiče domén nepodporuje RBCD.
-
V prípade zlyhania neustále aktualizácie všetkých ovládačov domény služby Active Directory pri zapnutí režimu vynútenia sa môžu zobraziť občasné zlyhania delegovania služby.
-
Pred nastavením režimu vynútenia:
-
Všetky radiče domén služby Active Directory musia byť aktualizované aktualizáciou 8. decembra 2020 Windows alebo novšou aktualizáciou Windows a
-
Všetky nevybavené lístky služby S4USelf Kerberos musia uplyli tak, že po dokončení inštalácie balíka Windows na všetky radiče domén služby Active Directory vypršia približne deň.
-
Ďalšie informácie
Keď je táto ochrana povolená, zjedzuje logiku pre Resource-Based Constrained Delegation (RBCD) s pôvodným delegovaním v rámci obmedzeného prostredia. To môže spôsobiť problémy v týchto dvoch scenároch:
-
Jedna služba súčasne používa pôvodné delegovanie Kerberos Constrained Delegation (KCD) bez prechodu protokolu na jeden cieľ, pričom používa RBCD s prechodom protokolu na iný. Po tejto zmene sa za server zalomenia prechodu protokolu použije na oba štýly delegovania.
-
RBCD sa používa v doméne, ktorá používa radiče domén, ktoré nie sú aktualizované s cve-2020-16996 alebo so staršími verziami Windows Servera (starších ako Window Server 2012), ktoré nemajú k dispozícii aktualizáciu CVE-2020-16996. Neaktualizujúce kľúčové distribučné centrá nebudú príznakom S4USelf Kerberos v prípade delegovania a prechodu protokolu odmietnuté.