POSODOBLJENO 20. marec 2023 – razdelek Razpoložljivost
Povzetek
Oddaljeni protokol distribuiranega komponentnega predmetnega modela (DCOM) je protokol za izpostavljanje predmetov aplikacije z oddaljenimi klici procedure (RPCs). DCOM se uporablja za komunikacijo med komponentami programske opreme omrežnih naprav. Za CVE-2021-26414 so bile potrebne spremembe utrjenega v DCOM. Zato vam priporočamo, da preverite, ali odjemalske ali strežniške aplikacije v vašem okolju, ki uporabljajo DCOM ali RPC, delujejo po pričakovanjih z omogočenimi spremembami za utrjevanje.
Opomba Priporočamo, da namestite najnovejšo varnostno posodobitev, ki je na voljo. Zagotavljajo napredno zaščito pred najnovejšimi varnostnimi grožnjami. Ponujajo tudi zmogljivosti, ki smo jih dodali za podporo selitve. Če želite več informacij in kontekst o tem, kako utrdim DCOM, glejte Utrjevanje preverjanja pristnosti DCOM: kaj morate vedeti.
Prva faza posodobitev DCOM je bila izdana 8. junija 2021. V tej posodobitvi je bilo utrjevanje DCOM privzeto onemogočeno. Omogočite jih lahko tako, da spremenite register, kot je opisano v spodnjem razdelku »Nastavitev registra za omogočanje ali onemogočanje sprememb utrjenega oblikovanja«. Druga faza posodobitev DCOM je bila izdana 14. junija 2022. To je spremenilo utrjevanje tako, da je privzeto omogočeno, vendar ohranilo možnost onemogočanja sprememb z nastavitvami registrskega ključa. Končna faza posodobitev DCOM bo izdana marca 2023. Obdržal bo omogočeno utrjevanje DCOM in odstranil možnost, da jo onemogočite.
Časovnica
|
Izdaja posodobitve |
Sprememba delovanja |
|
8. junij 2021 |
Izdaja 1. faze – utrjevanje sprememb je privzeto onemogočeno, vendar jih lahko omogočite z registrskim ključem. |
|
14. junij 2022 |
Izdaja 2. faze – utrjevanje sprememb je privzeto omogočeno, vendar jih lahko onemogočite z registrskim ključem. |
|
14. marec 2023 |
Izdaja 3. faze – utrjevanje sprememb je privzeto omogočeno brez možnosti onemogočanja sprememb. Do te točke morate odpraviti vse težave z združljivostjo s spremembami, ki težjijo, in aplikacijami v vašem okolju. |
Preskušanje združljivosti za utrjevanje DCOM
Novi dogodki napake DCOM
Za pomoč pri prepoznavanju aplikacij, ki lahko imajo težave z združljivostjo, ko omogočimo spremembe, ki težjajo varnost DCOM, smo v sistemski dnevnik dodali nove dogodke napake DCOM. Oglejte si spodnje tabele. Sistem zabeleži te dogodke, če zazna, da odjemalski program DCOM poskuša aktivirati strežnik DCOM z ravnijo preverjanja pristnosti, ki je manjša od RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Povezavo z odjemalsko napravo lahko poiščete v strežniškem dnevniku dogodkov in z dnevniki dogodkov odjemalcev poiščete program.
Strežniški dogodki – Označite, da strežnik prejema zahteve nižje ravni
|
ID dogodka |
Sporočilo |
|---|---|
|
10036 |
»Pravilnik na ravni preverjanja pristnosti na strani strežnika uporabniku %1\%2 SID (%3) z naslova %4 ne dovoli aktiviranja strežnika DCOM. Povečajte raven preverjanja pristnosti za aktiviranje, da RPC_C_AUTHN_LEVEL_PKT_INTEGRITY v odjemalskem programu.« (%1 – domena, %2 – uporabniško ime, %3 – SID uporabnika, %4 – naslov IP odjemalca) |
Odjemalski dogodki – označite, kateri program pošilja zahteve nižje ravni
|
ID dogodka |
Sporočilo |
|---|---|
|
10037 |
»Aplikacija %1 s PID %2 zahteva aktiviranje CLSID %3 v računalniku %4 z izrecno nastavljeno stopnjo preverjanja pristnosti na %5. Najnižja raven preverjanja pristnosti aktiviranja, ki jo zahteva DCOM, je 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Če želite zvišati raven preverjanja pristnosti pri aktiviranju, se obrnite na prodajalca aplikacije.« |
|
10038 |
»Aplikacija %1 s PID %2 zahteva aktiviranje CLSID %3 v računalniku %4 s privzeto stopnjo preverjanja pristnosti aktivacije na %5. Najnižja raven preverjanja pristnosti aktiviranja, ki jo zahteva DCOM, je 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Če želite zvišati raven preverjanja pristnosti pri aktiviranju, se obrnite na prodajalca aplikacije.« (%1 – Pot aplikacije, %2 – Application PID, %3 – CLSID razreda COM, ki ga aplikacija zahteva za aktiviranje, %4 – ime računalnika, %5 – vrednost ravni preverjanja pristnosti) |
Razpoložljivost
Ti dogodki napake so na voljo le za podnabor različic sistema Windows; glejte spodnjo tabelo.
|
Različica sistema Windows |
Na voljo na datume ali po teh datumih |
|---|---|
|
Windows Server 2022 |
27. september 2021 |
|
Windows 10, različica 2004, Windows 10, različica 20H2, Windows 10, različica 21H1 |
1. september 2021 |
|
Windows 10, različica 1909 |
26. avgust 2021 |
|
Windows Server 2019, Windows 10, različica 1809 |
26. avgust 2021 |
|
Windows Server 2016, Windows 10, različica 1607 |
14. september 2021 |
|
Windows Server 2012 R2 in Windows 8.1 |
12. oktober 2021 |
|
Windows 11, različica 22H2 |
30. september 2022 |
Popravek samodejnega povišanja zahteve odjemalca
Raven preverjanja pristnosti za vse zahteve za aktiviranje, ki niso anonimne
Da bi zmanjšali težave z združljivostjo aplikacij, smo samodejno raven preverjanja pristnosti za vse neonimne zahteve za aktiviranje odjemalcev DCOM s sistemom Windows samodejno dvignili na najnižjo raven RPC_C_AUTHN_LEVEL_PKT_INTEGRITY za aktiviranje. S to spremembo bo večina zahtev odjemalca DCOM, ki temeljijo na sistemu Windows, samodejno sprejeta z omogočenimi spremembami DCOM na strani strežnika brez kakršnih koli dodatnih sprememb v odjemalcu DCOM. Poleg tega bo večina Windows DCOM odjemalcev samodejno dela z DCOM utrjevanje sprememb na strani strežnika brez kakršne koli nadaljnje spremembe na DCOM odjemalca.
Opomba Ta popravek bo še naprej vključen v zbirne posodobitve.
Patch update timeline
Od začetne izdaje novembra 2022, je samodejno elevate obliž je imel nekaj posodobitev.
-
Posodobitev iz novembra 2022
-
Ta posodobitev samodejno dvigne raven preverjanja pristnosti aktiviranja v celovitost paketa. Ta sprememba je bila v sistemih Windows Server 2016 in Windows Server 2019 privzeto onemogočena.
-
-
Posodobitev v decembru 2022
-
Novembrska sprememba je bila privzeto omogočena za Windows Server 2016 in Windows Server 2019.
-
Ta posodobitev je odpravljala tudi težavo, ki je vplivala na anonimno aktiviranje v sistemih Windows Server 2016 in Windows Server 2019.
-
-
Posodobitev iz januarja 2023
-
Ta posodobitev je odpravljala težavo, ki je vplivala na anonimno aktiviranje na platformah iz sistema Windows Server 2008 v Windows 10 (prvotna različica, izdana julija 2015).
-
Če ste v odjemalce in strežnike namestili zbirne varnostne posodobitve od januarja 2023, bodo imeli v celoti omogočen najnovejši samodejno povzdignjeni popravek.
Nastavitev registra za omogočanje ali onemogočanje sprememb utrjenega
Med fazami časovnice, v katerih lahko omogočite ali onemogočite spremembe utrjenega za CVE-2021-26414, lahko uporabite ta registrski ključ:
-
Pot: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Ime vrednosti: »RequireIntegrityActivationAuthenticationLevel«
-
Vrsta: dword
-
Podatki o vrednosti: privzeto = 0x00000000 pomeni onemogočeno. 0x00000001 pomeni omogočeno. Če ta vrednost ni določena, bo privzeto omogočena.
Opomba Podatke o vrednosti morate vnesti v šestnajstiški obliki zapisa.
Pomembno Ko nastavite ta registrski ključ, morate znova zagnati napravo, da bo ta uporabljen.
Opomba Če omogočite zgornji registrski ključ, bodo strežniki DCOM vsilili Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ali novejšo različico za aktiviranje. To ne vpliva na anonimno aktiviranje (aktiviranje z uporabo ravni preverjanja pristnosti RPC_C_AUTHN_LEVEL_NONE). Če strežnik DCOM omogoča anonimno aktiviranje, bo še vedno dovoljeno, tudi če so omogočene spremembe utrjenega DCOM.
Opomba Ta vrednost registra privzeto ne obstaja; jo morate ustvariti. Sistem Windows ga bo prebral, če obstaja, in ga ne bo prepisal.
Opomba Namestitev poznejših posodobitev ne bo spremenila ali odstranila obstoječih vnosov in nastavitev registra.
