Dôležité: Dátumy vydania, ktoré boli predtým uvedené v tomto článku, sa zmenili. Všimnite si nové dátumy vydania v sekciách vykonať akciu a časovanie týchto aktualizácií Windowsu.
Súhrn
Nedostatočné zabezpečenie funkcie zabezpečenia obísť spôsob, akým centrum distribúcie kľúčov určuje, či sa môže použiť lístok služby Kerberos na delegovanie prostredníctvom delegovania Kerberos s obmedzením (KCD). Ak chcete zneužiť zraniteľnosť, napadnuteľná služba, ktorá je nakonfigurovaná na používanie KCD, môže manipulovať s lístkom služby Kerberos, ktorý nie je platný pre delegovanie, aby vynútil službu KDC. Tieto aktualizácie systému Windows riešia túto zraniteľnosť zmenou spôsobu, akým Služba KDC overuje vstupenky na služby Kerberos, ktoré sa používajú s KCD.
Ďalšie informácie o tejto zraniteľnosti nájdete v téme CVE-2020-17049.
Vykonanie akcie Ak chcete chrániť životné prostredie a zabrániť výpadkom, musíte postupovať podľa týchto krokov:
|
Časovanie týchto aktualizácií Windowsu
Tieto aktualizácie Windowsu budú vydané v troch fázach:
-
Počiatočná fáza nasadenia aktualizácií Windowsu vydaná v alebo po 8. decembri 2020.
-
Druhá fáza nasadenia, ktorá odstraňuje PerformTicketSignature nastavenie 0 , a vyžaduje buď nastavenie 1 alebo 2, v apríli alebo po 2021.
-
Fáza vynútenia aktualizácií pre Windows vydané v júli 13, 2021.
8. decembra 2020: Počiatočná fáza nasadenia
Počiatočná fáza nasadenia sa začína na Windows Update vydaná v decembri 8, 2020 a pokračuje s novšou aktualizáciou Windowsu pre fázu vynútenia. Tieto a novšie aktualizácie systému Windows vykonajú zmeny v protokole Kerberos. Táto aktualizácia z decembra 8, 2020 obsahuje opravy všetkých známych problémov, ktoré boli pôvodne zavedené v novembri 10, 2020 vydaní CVE-2020-17049. Táto aktualizácia tiež pridáva podporu pre Windows Server 2008 SP2 a Windows Server 2008 R2.
Toto vydanie:
-
Adresy CVE – 2020-17049 (predvolene v režime nasadenia).
-
Pridá podporu pre hodnotu databázy Registry PerformTicketSignature na povolenie ochrany na serveroch radiča domény služby Active Directory. Predvolene táto hodnota neexistuje.
Zmiernenie pozostáva z inštalácie aktualizácií systému Windows vo všetkých zariadeniach, ktoré sú hostiteľom roly radiča domény služby Active Directory a radičov domény iba na čítanie (RODCs), a potom povolenie režimu vynucovania.
Apríl 13, 2021: druhá fáza nasadenia
Druhá fáza nasadenia sa spustí s Windows Update vydaným v apríli 13, 2021. V tejto fáze sa odstráni nastavenie PerformTicketSignature0. Nastavenie PerformTicketSignature až 0 po nainštalovaní tejto aktualizácie bude mať rovnaký efekt ako nastavenie PerformTicketSignature na hodnotu 1. Radiče domén sa budú nachádzať v režime nasadenia.
Poznámky
-
Táto fáza nie je potrebná, ak PerformTicketSignature v prostredí nikdy nebola nastavená na hodnotu 0 . Táto fáza pomáha zabezpečiť, aby sa Zákazníci, ktorí nastavili PerformTicketSignature na 0 , presunuli do nastavenia 1 pred fázou vynútenia .
-
S nasadením 13. apríla 2021 aktualizácie, nastavenie PerformTicketSignature na 1 umožní, aby boli servisné lístky obnoviteľné. Toto je zmena v správaní z pre-apríl 2021 Windows updates pri nastavovaní PerformTicketSignature na 1 , ktoré spôsobili, že servisné lístky nie sú obnoviteľné.
-
Táto aktualizácia predpokladá, že všetky radiče domén sa aktualizujú s aktualizáciami z decembra 8, 2020 aktualizácie alebo novšie aktualizácie.
-
Po inštalácii tejto aktualizácie a manuálne alebo pomocou programovania nastavte PerformTicketSignature na 1 alebo novšiu verziu, nepodporované radiče domén systému Windows Server už nebudú fungovať s podporovanými radičmi domén. Toto zahŕňa Windows Server 2008 a Windows Server 2008 R2 bez rozšírených aktualizácií zabezpečenia (ESU) a Windows Server 2003.
13. júl 2021: fáza výkonu
13. júla 2021 uvoľnenie prechody do fázy vymáhania. Fáza výkonu vynúti zmeny na adrese CVE-2020-17049. Radiče domén služby Active Directory sú teraz schopné režimu vynucovania. Prechod do režimu vynucovania vyžaduje, aby všetky radiče domén služby Active Directory mali nainštalovanú aktualizáciu z decembra 8, 2020 alebo novšiu aktualizáciu Windowsu. V súčasnosti sa nastavenie kľúča databázy Registry PerformTicketSignature ignoruje a režim vynútenia sa nedá prepísať.
Pokyny na inštaláciu
Pred inštaláciou tejto aktualizácie
Skôr než použijete túto aktualizáciu, musíte mať nainštalované nasledujúce povinné aktualizácie. Ak používate Windows Update, tieto povinné aktualizácie sa budú v prípade potreby ponúkať automaticky.
-
Musíte mať aktualizáciu SHA-2 (KB4474419), ktorá je datovaná 23. září, 2019 alebo novšia aktualizácia SHA-2, a potom reštartujte zariadenie skôr, než použijete túto aktualizáciu. Ďalšie informácie o aktualizáciách SHA-2 nájdete v téme 2019 požiadavky podpory podpisu kódu SHA-2 pre Windows a WSUS.
-
Pre Windows Server 2008 R2 SP1 musíte mať nainštalovaný balík Service stack Update (SSU) (KB4490628), ktorý je datovaný 12. marca 2019. Po nainštalovaní aktualizácie KB4490628 odporúčame nainštalovať NAJNOVŠIU aktualizáciu SSU. Ďalšie informácie o najnovších aktualizáciách SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníkov servisu.
-
Pre Windows Server 2008 SP2 musíte mať nainštalovaný balík Service stack Update (SSU) (KB4493730), ktorý je datovaný 9. dubna 2019. Po nainštalovaní aktualizácie KB4493730 odporúčame nainštalovať NAJNOVŠIU aktualizáciu SSU. Ďalšie informácie o najnovších aktualizáciách SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníkov servisu.
-
Zákazníci sú povinní zakúpiť rozšírenú aktualizáciu zabezpečenia (ESU) pre lokálne verzie windows servera 2008 SP2 alebo windows Server 2008 R2 SP1 po rozšírenej podpore ukončenej 14. januára 2020. Zákazníci, ktorí si zakúpili ESU, musia postupovať podľa postupov v KB4522133 a pokračovať v prijímaní aktualizácií zabezpečenia. Ďalšie informácie o ESU a vydaniach, ktoré sú podporované, nájdete v téme KB4497181.
Dôležité upozorneniePo inštalácii týchto požadovaných aktualizácií je nutné reštartovať zariadenie.
Inštalácia všetkých aktualizácií
Ak chcete odstrániť Napadnuteľnosť zabezpečenia, nainštalujte všetky aktualizácie Windowsu a povoľte režim vynucovania pomocou týchto krokov:
-
Nasaďte aspoň jednu z aktualizácií od 8. decembra 2020 do marca 9, 2021 na všetky radiče domén služby Active Directory v lese.
-
Nasadenie 12. apríla 2021 aktualizujte aspoň jeden alebo viacero týždňov po kroku 1.
-
Po aktualizovaní všetkých radičov domény služby Active Directory počkajte aspoň celý týždeň , aby sa umožnilo, že všetky neuhradené služby pre používateľov na vlastné (S4U2self) služby Kerberos budú ukončené a potom je možné povoliť úplnú ochranu nasadením režimu vynucovania radiča domény služby Active Directory.
Poznámok-
Ak ste upravili čas uplynutia platnosti lístka služby Kerberos z predvolených nastavení (predvolená hodnota je 7 dní), musíte počkať aspoň počet dní, ktoré sú nakonfigurované vo vašom prostredí.
-
Tieto kroky predpokladajú, že PerformTicketSignature nebol nikdy nastavený na hodnotu 0 v prostredí. Ak bol PerformTicketSignature nastavený na hodnotu 0, musíte prejsť na nastavenie 1 pred prechodom na nastavenie 2 (režim vynútenia) a počkať aspoň týždeň, aby sa umožnilo všetkým nevybaveným službám pre používateľov na vlastné (S4U2self) platnosť lístkov služby Kerberos. Ak chcete nastaviť hodnotu 2 (režim vynútenia), nemali by ste sa presúvať priamo z nastavenia 0 .
-
Krok 1: Inštalácia aktualizácií systému Windows
Nainštalujte 2020 príslušnú službu Windows Update alebo novšiu verziu služby Windows Update na všetky zariadenia, ktoré hosťujú rolu radiča domény služby Active Directory v lese vrátane radičov domény iba na čítanie.
Produkt Windows Server |
KB # |
Typ aktualizácie |
Windows Server, verzia 20H2 (inštalácia jadra servera) |
Aktualizácia zabezpečenia |
|
Windows Server, verzia 2004 (inštalácia jadra servera) |
Aktualizácia zabezpečenia |
|
Windows Server, verzia 1909 (inštalácia jadra servera) |
Aktualizácia zabezpečenia |
|
Windows Server, verzia 1903 (inštalácia jadra servera) |
Aktualizácia zabezpečenia |
|
Windows Server 2019 (inštalácia jadra servera) |
Aktualizácia zabezpečenia |
|
Windows Server 2019 |
Aktualizácia zabezpečenia |
|
Windows Server 2016 (inštalácia jadra servera) |
Aktualizácia zabezpečenia |
|
Windows Server 2016 |
Aktualizácia zabezpečenia |
|
Windows Server 2012 R2 (inštalácia jadra servera) |
Mesačná Kumulatívna |
|
Iba zabezpečenie |
||
Windows Server 2012 R2 |
Mesačná Kumulatívna |
|
Iba zabezpečenie |
||
Windows Server 2012 (inštalácia jadra servera) |
Mesačná Kumulatívna |
|
Iba zabezpečenie |
||
Windows Server 2012 |
Mesačná Kumulatívna |
|
Iba zabezpečenie |
||
Windows Server 2008 R2 Service Pack 1 |
Mesačná Kumulatívna |
|
Iba zabezpečenie |
||
Windows Server 2008 Service Pack 2 |
Mesačná Kumulatívna |
|
Iba zabezpečenie |
Krok 2: povolenie režimu vynucovania
Po aktualizovaní všetkých zariadení, ktoré hosťujú rolu radiča domény služby Active Directory, počkajte aspoň celý týždeň , aby sa umožnilo uplynutie platnosti všetkých nevybavených lístkov S4U2self služby Kerberos. Potom povoľte úplnú ochranu nasadením režimu vynucovania. Ak to chcete urobiť, zapnite kľúč databázy Registry režimu vynucovania.
Upozornenie: Ak databázu Registry upravíte nesprávne pomocou editora databázy Registry alebo pomocou inej metódy, môžu nastať vážne problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nedokáže zaručiť, že sa tieto problémy dajú vyriešiť. Databázu Registry upravte na vlastné riziko.
Poznámka: Táto aktualizácia prináša podporu pre nasledujúcu hodnotu databázy Registry na povolenie režimu vynucovania. Nainštalovaním tejto aktualizácie sa nevytvorí Táto hodnota databázy Registry. Túto hodnotu databázy Registry musíte pridať manuálne.
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Hodnota |
PerformTicketSignature |
Typ údajov |
REG_DWORD |
Údajov |
1: umožňuje režim nasadenia. Oprava je povolená na radiči domény, ale radič domény služby Active Directory nevyžaduje, aby boli vstupenky služby Kerberos zhodné s opravou. Tento režim pridáva podporu podpisov lístkov v aktualizovaných radičoch domén CVE – 2020-17049, ale radiče domén nevyžadujú podpisovanie lístkov. To umožňuje kombináciu počiatočnej fázy nasadenia (DCs aktualizované na úvodnú aktualizáciu nasadenia z decembra) a aktualizovaných radičov domén na koexistenciu. Pri aktualizácii všetkých radičov domény a pri nastavovaní 1budú všetky nové lístky podpísané. V tomto režime budú nové lístky označené ako obnoviteľné. 2: Zapnutie režimu vynucovania to umožňuje opravu v požadovanom režime, kde sa musia aktualizovať všetky domény a všetky doménové radiče služby Active Directory vyžadujú vstupenky na služby Kerberos s podpismi. Pri tomto nastavení musia byť všetky lístky podpísané, aby sa považovali za platné. V tomto režime budú vstupenky opäť označené ako obnoviteľné. 0: neodporúča sa. Vypnutie podpisu lístkov služby Kerberos a domén nie sú chránené. Dôležité Nastavenie 0 nie je kompatibilné s nastavením vynucovania 2. Zlyhanie overovania občasného zlyhania sa môže vyskytnúť, ak sa režim vymáhania použije neskôr, zatiaľ čo doména je nastavená na hodnotu 0. Odporúčame zákazníkom prejsť na nastavenie 1 pred fázou vymáhania (aspoň týždeň pred uplatnením vymáhania). |
Predvolené |
1 (ak nie je nastavený kľúč databázy Registry) |
Vyžaduje sa reštartovanie? |
Nie |