KB4598347: spravovanie nasadenia Kerberos S4U zmeny pre CVE-2020-17049

Dôležité: Dátumy vydania, ktoré boli predtým uvedené v tomto článku, sa zmenili. Všimnite si nové dátumy vydania v sekciách vykonať akciu a časovanie týchto aktualizácií Windowsu.

Súhrn

Nedostatočné zabezpečenie funkcie zabezpečenia obísť spôsob, akým centrum distribúcie kľúčov určuje, či sa môže použiť lístok služby Kerberos na delegovanie prostredníctvom delegovania Kerberos s obmedzením (KCD). Ak chcete zneužiť zraniteľnosť, napadnuteľná služba, ktorá je nakonfigurovaná na používanie KCD, môže manipulovať s lístkom služby Kerberos, ktorý nie je platný pre delegovanie, aby vynútil službu KDC. Tieto aktualizácie systému Windows riešia túto zraniteľnosť zmenou spôsobu, akým Služba KDC overuje vstupenky na služby Kerberos, ktoré sa používajú s KCD.

Ďalšie informácie o tejto zraniteľnosti nájdete v téme CVE-2020-17049

Vykonanie akcie

Ak chcete chrániť životné prostredie a zabrániť výpadkom, musíte postupovať podľa týchto krokov:

  1. Aktualizujte všetky zariadenia, ktoré sú hostiteľom roly radiča domény služby Active Directory, nainštalovaním aspoň jedného z aktualizácií Windowsu medzi 8. decembra 2020 a 9. marca 2021. Nezabúdajte, že inštalácia Windows Update úplne nezmierňuje Napadnuteľnosť zabezpečenia. Musíte tiež vykonať krok 2 a 3.

  2. Aktualizujte všetky zariadenia, ktoré hosťujú rolu radiča domény služby Active Directory nainštalovaním balíka 2021 Windows Update.

  3. Povolíte Režim vynútenia na všetkých radičoch domén služby Active Directory.

  4. Počnúc 13. júla 2021, aktualizácia fázy vymáhania, režim vynútenia bude zapnutý pre všetky radiče domén systému Windows.

Časovanie týchto aktualizácií Windowsu

Tieto aktualizácie Windowsu budú vydané v troch fázach:

  • Počiatočná fáza nasadenia aktualizácií Windowsu vydaná v alebo po 8. decembri 2020.

  • Druhá fáza nasadenia, ktorá odstraňuje PerformTicketSignature nastavenie 0 , a vyžaduje buď nastavenie 1 alebo 2, v apríli alebo po 2021.

  • Fáza vynútenia aktualizácií pre Windows vydané v júli 13, 2021.

8. decembra 2020: Počiatočná fáza nasadenia

Počiatočná fáza nasadenia sa začína na Windows Update vydaná v decembri 8, 2020 a pokračuje s novšou aktualizáciou Windowsu pre fázu vynútenia. Tieto a novšie aktualizácie systému Windows vykonajú zmeny v protokole Kerberos. Táto aktualizácia z decembra 8, 2020 obsahuje opravy všetkých známych problémov, ktoré boli pôvodne zavedené v novembri 10, 2020 vydaní CVE-2020-17049. Táto aktualizácia tiež pridáva podporu pre Windows Server 2008 SP2 a Windows Server 2008 R2.

Toto vydanie:

  • Adresy CVE – 2020-17049 (predvolene v režime nasadenia).

  • Pridá podporu pre hodnotu databázy Registry PerformTicketSignature na povolenie ochrany na serveroch radiča domény služby Active Directory. Predvolene táto hodnota neexistuje.

Zmiernenie pozostáva z inštalácie aktualizácií systému Windows vo všetkých zariadeniach, ktoré sú hostiteľom roly radiča domény služby Active Directory a radičov domény iba na čítanie (RODCs), a potom povolenie režimu vynucovania.

Apríl 13, 2021: druhá fáza nasadenia

Druhá fáza nasadenia sa spustí s Windows Update vydaným v apríli 13, 2021. V tejto fáze sa odstráni nastavenie PerformTicketSignature0. Nastavenie PerformTicketSignature0 po nainštalovaní tejto aktualizácie bude mať rovnaký efekt ako nastavenie PerformTicketSignature na hodnotu 1. Radiče domén sa budú nachádzať v režime nasadenia.

Poznámky

  • Táto fáza nie je potrebná, ak PerformTicketSignature v prostredí nikdy nebola nastavená na hodnotu 0 . Táto fáza pomáha zabezpečiť, aby sa Zákazníci, ktorí nastavili PerformTicketSignature na 0 , presunuli do nastavenia 1 pred fázou vynútenia .

  • S nasadením 13. apríla 2021 aktualizácie, nastavenie PerformTicketSignature na 1 umožní, aby boli servisné lístky obnoviteľné. Toto je zmena v správaní z pre-apríl 2021 Windows updates pri nastavovaní PerformTicketSignature na 1 , ktoré spôsobili, že servisné lístky nie sú obnoviteľné.

  • Táto aktualizácia predpokladá, že všetky radiče domén sa aktualizujú s aktualizáciami z decembra 8, 2020 aktualizácie alebo novšie aktualizácie.

  • Po inštalácii tejto aktualizácie a manuálne alebo pomocou programovania nastavte PerformTicketSignature na 1 alebo novšiu verziu, nepodporované radiče domén systému Windows Server už nebudú fungovať s podporovanými radičmi domén. Toto zahŕňa Windows Server 2008 a Windows Server 2008 R2 bez rozšírených aktualizácií zabezpečenia (ESU) a Windows Server 2003.

13. júl 2021: fáza výkonu

13. júla 2021 uvoľnenie prechody do fázy vymáhania. Fáza výkonu vynúti zmeny na adrese CVE-2020-17049. Radiče domén služby Active Directory sú teraz schopné režimu vynucovania. Prechod do režimu vynucovania vyžaduje, aby všetky radiče domén služby Active Directory mali nainštalovanú aktualizáciu z decembra 8, 2020 alebo novšiu aktualizáciu Windowsu. V súčasnosti sa nastavenie kľúča databázy Registry PerformTicketSignature ignoruje a režim vynútenia sa nedá prepísať. 

Pokyny na inštaláciu

Pred inštaláciou tejto aktualizácie

Skôr než použijete túto aktualizáciu, musíte mať nainštalované nasledujúce povinné aktualizácie. Ak používate Windows Update, tieto povinné aktualizácie sa budú v prípade potreby ponúkať automaticky.

  • Musíte mať aktualizáciu SHA-2 (KB4474419), ktorá je datovaná 23. září, 2019 alebo novšia aktualizácia SHA-2, a potom reštartujte zariadenie skôr, než použijete túto aktualizáciu. Ďalšie informácie o aktualizáciách SHA-2 nájdete v téme 2019 požiadavky podpory podpisu kódu SHA-2 pre Windows a WSUS.

  • Pre Windows Server 2008 R2 SP1 musíte mať nainštalovaný balík Service stack Update (SSU) (KB4490628), ktorý je datovaný 12. marca 2019. Po nainštalovaní aktualizácie KB4490628 odporúčame nainštalovať NAJNOVŠIU aktualizáciu SSU. Ďalšie informácie o najnovších aktualizáciách SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníkov servisu.

  • Pre Windows Server 2008 SP2 musíte mať nainštalovaný balík Service stack Update (SSU) (KB4493730), ktorý je datovaný 9. dubna 2019. Po nainštalovaní aktualizácie KB4493730 odporúčame nainštalovať NAJNOVŠIU aktualizáciu SSU. Ďalšie informácie o najnovších aktualizáciách SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníkov servisu.

  • Zákazníci sú povinní zakúpiť rozšírenú aktualizáciu zabezpečenia (ESU) pre lokálne verzie windows servera 2008 SP2 alebo windows Server 2008 R2 SP1 po rozšírenej podpore ukončenej 14. januára 2020. Zákazníci, ktorí si zakúpili ESU, musia postupovať podľa postupov v KB4522133 a pokračovať v prijímaní aktualizácií zabezpečenia. Ďalšie informácie o ESU a vydaniach, ktoré sú podporované, nájdete v téme KB4497181.

Dôležité upozorneniePo inštalácii týchto požadovaných aktualizácií je nutné reštartovať zariadenie.

Inštalácia všetkých aktualizácií

Ak chcete odstrániť Napadnuteľnosť zabezpečenia, nainštalujte všetky aktualizácie Windowsu a povoľte režim vynucovania pomocou týchto krokov:

  1. Nasaďte aspoň jednu z aktualizácií od 8. decembra 2020 do marca 9, 2021 na všetky radiče domén služby Active Directory v lese.

  2. Nasadenie 12. apríla 2021 aktualizujte aspoň jeden alebo viacero týždňov po kroku 1.

  3. Po aktualizovaní všetkých radičov domény služby Active Directory počkajte aspoň celý týždeň , aby sa umožnilo, že všetky neuhradené služby pre používateľov na vlastné (S4U2self) služby Kerberos budú ukončené a potom je možné povoliť úplnú ochranu nasadením režimu vynucovania radiča domény služby Active Directory.

    Poznámok

    • Ak ste upravili čas uplynutia platnosti lístka služby Kerberos z predvolených nastavení (predvolená hodnota je 7 dní), musíte počkať aspoň počet dní, ktoré sú nakonfigurované vo vašom prostredí.

    • Tieto kroky predpokladajú, že PerformTicketSignature nebol nikdy nastavený na hodnotu 0 v prostredí. Ak bol PerformTicketSignature nastavený na hodnotu 0, musíte prejsť na nastavenie 1 pred prechodom na nastavenie 2 (režim vynútenia) a počkať aspoň týždeň, aby sa umožnilo všetkým nevybaveným službám pre používateľov na vlastné (S4U2self) platnosť lístkov služby Kerberos. Ak chcete nastaviť hodnotu 2 (režim vynútenia), nemali by ste sa presúvať priamo z nastavenia 0 .


Krok 1: Inštalácia aktualizácií systému Windows

Nainštalujte 2020 príslušnú službu Windows Update alebo novšiu verziu služby Windows Update na všetky zariadenia, ktoré hosťujú rolu radiča domény služby Active Directory v lese vrátane radičov domény iba na čítanie.

Produkt Windows Server

KB #

Typ aktualizácie

Windows Server, verzia 20H2 (inštalácia jadra servera)

4592438

Aktualizácia zabezpečenia

Windows Server, verzia 2004 (inštalácia jadra servera)

4592438

Aktualizácia zabezpečenia

Windows Server, verzia 1909 (inštalácia jadra servera)

4592449

Aktualizácia zabezpečenia

Windows Server, verzia 1903 (inštalácia jadra servera)

4592449

Aktualizácia zabezpečenia

Windows Server 2019 (inštalácia jadra servera)

4592440

Aktualizácia zabezpečenia

Windows Server 2019

4592440

Aktualizácia zabezpečenia

Windows Server 2016 (inštalácia jadra servera)

4593226

Aktualizácia zabezpečenia

Windows Server 2016

4593226

Aktualizácia zabezpečenia

Windows Server 2012 R2 (inštalácia jadra servera)

4592484

Mesačná Kumulatívna

4592495

Iba zabezpečenie

Windows Server 2012 R2

4592484

Mesačná Kumulatívna

4592495

Iba zabezpečenie

Windows Server 2012 (inštalácia jadra servera)

4592468

Mesačná Kumulatívna

4592497

Iba zabezpečenie

Windows Server 2012

4592468

Mesačná Kumulatívna

4592497

Iba zabezpečenie

Windows Server 2008 R2 Service Pack 1

4592471

Mesačná Kumulatívna

4592503

Iba zabezpečenie

Windows Server 2008 Service Pack 2

4592498

Mesačná Kumulatívna

4592504

Iba zabezpečenie

Krok 2: povolenie režimu vynucovania

Po aktualizovaní všetkých zariadení, ktoré hosťujú rolu radiča domény služby Active Directory, počkajte aspoň celý týždeň , aby sa umožnilo uplynutie platnosti všetkých nevybavených lístkov S4U2self služby Kerberos. Potom povoľte úplnú ochranu nasadením režimu vynucovania. Ak to chcete urobiť, zapnite kľúč databázy Registry režimu vynucovania.

Upozornenie: Ak databázu Registry upravíte nesprávne pomocou editora databázy Registry alebo pomocou inej metódy, môžu nastať vážne problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nedokáže zaručiť, že sa tieto problémy dajú vyriešiť. Databázu Registry upravte na vlastné riziko.

Poznámka: Táto aktualizácia prináša podporu pre nasledujúcu hodnotu databázy Registry na povolenie režimu vynucovania. Nainštalovaním tejto aktualizácie sa nevytvorí Táto hodnota databázy Registry. Túto hodnotu databázy Registry musíte pridať manuálne.

Podkľúč databázy Registry

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Hodnota

PerformTicketSignature

Typ údajov

REG_DWORD

Údajov

1: umožňuje režim nasadenia. Oprava je povolená na radiči domény, ale radič domény služby Active Directory nevyžaduje, aby boli vstupenky služby Kerberos zhodné s opravou. Tento režim pridáva podporu podpisov lístkov v aktualizovaných radičoch domén CVE – 2020-17049, ale radiče domén nevyžadujú podpisovanie lístkov. To umožňuje kombináciu počiatočnej fázy nasadenia (DCs aktualizované na úvodnú aktualizáciu nasadenia z decembra) a aktualizovaných radičov domén na koexistenciu. Pri aktualizácii všetkých radičov domény a pri nastavovaní 1budú všetky nové lístky podpísané. V tomto režime budú nové lístky označené ako obnoviteľné.

2: Zapnutie režimu vynucovania to umožňuje opravu v požadovanom režime, kde sa musia aktualizovať všetky domény a všetky doménové radiče služby Active Directory vyžadujú vstupenky na služby Kerberos s podpismi. Pri tomto nastavení musia byť všetky lístky podpísané, aby sa považovali za platné. V tomto režime budú vstupenky opäť označené ako obnoviteľné.

0: neodporúča sa. Vypnutie podpisu lístkov služby Kerberos a domén nie sú chránené.

Dôležité Nastavenie 0 nie je kompatibilné s nastavením vynucovania 2. Zlyhanie overovania občasného zlyhania sa môže vyskytnúť, ak sa režim vymáhania použije neskôr, zatiaľ čo doména je nastavená na hodnotu 0. Odporúčame zákazníkom prejsť na nastavenie 1 pred fázou vymáhania (aspoň týždeň pred uplatnením vymáhania).

Predvolené

1 (ak nie je nastavený kľúč databázy Registry)

Vyžaduje sa reštartovanie?

Nie

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pripojiť k Microsoft insiderov chcú

Považujete poskytnuté informácie za užitočné?

Ďakujem za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×