Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

VAŽNO Datum za režim sprovođenja kao što je prethodno poznato u ovom članku promenjen je u 9. mart 2021. 

Rezime

Ako koristite zaštićene korisnike i ograničeno delegiranje zasnovano na resursima (RBCD), bezbednosna ranjivost može postojati na Active Directory kontrolerima domena. Da biste saznali više o bezbednosnoj ranjivosti, pogledajte CVE-2020-16996.

Preuzmi radnju

Morate da uradite sledeće da biste zaštitili okruženje i sprečili prekšćanja:

  1. Ažurirajte sve uređaje koji hostuje ulogu active Directory kontrolera domena tako što će se ispravka Windows 8. decembra 2020. ili novija Windows ispravka. Imajte na umu da Windows ispravka ne u potpunosti ublažava bezbednosnu ranjivost. Morate da izvršite 2. korak.

  2. Omogući režim sprovođenja na svim active Directory kontrolama domena. Počevši od ažuriranja od 9. marta 2021, režim sprovođenja može da se omogući na svim Windows domena.

Vremenski protok ispravki

Ove Windows će biti objavljene u dve faze:

  • Početna faza primene za Windows objavljene 8. decembra 2020. ili posle toga.

  • Faza sprovođenja za Windows ispravke objavljene 9. marta 2021. ili posle 9. marta 2021.

8. decembar 2020. : Faza početne primene

Početna faza primene počinje ispravkom Windows objavljenom 8. decembra 2020. i nastavlja se uz kasnije Windows za fazu sprovođenja. Ovo i Windows Windows promene u kerberos.

Ovo izdanje:

  • Adrese CVE-2020-16996 (podrazumevano onemogućene).

  • Dodaje podršku za vrednost registratora NonForwardableDelegation da bi se omogućila zaštita na Active Directory serverima kontrolera domena. Vrednost podrazumevano ne postoji.

Mitigation se sastoji od instalacije ispravki Windows na svim uređajima koji hostuje ulogu active Directory kontrolera domena i kontrolere domena samo za čitanje (RODC-ove), a zatim omogućavaju režim sprovođenja.

9. mart 2021. : Faza sprovođenja

Izdanje od 9. marta 2021. prelazi u fazu sprovođenja. Faza sprovođenja nalaže promene koje se primenjuju na CVE-2020-16996. Active Directory kontroleri domena će sada biti u režimu sprovođenja, osim ako je ključ registratora režima sprovođenja postavljen na 1 (Onemogućeno).  Ako je podešen ključ registratora režima sprovođenja, postavka će biti poštovana. Pređi na režim sprovođenja zahteva da svi Active Directory kontroleri domena imaju instaliranu ispravku ili noviju ispravku od 8. decembra 2020.

Uputstvo za instalaciju

Pre instaliranja ove ispravke

Morate da imate sledeće potrebne ispravke instalirane pre nego što primenite ovu ispravku. Ako koristite Windows ažuriranje, te potrebne ispravke će automatski biti ponuđene po potrebi.

  • Morate da imate instaliranu SHA-2 ispravku (KB4474419) koja je datirana 23. septembra 2019. ili novija SHA-2 ispravka, a zatim ponovo pokrenite uređaj pre nego što primenite ovu ispravku. Više informacija o ispravkama za SHA-2 potražite u 2019 sha-2zahtevu za podršku za potpisivanje kodova za Windows i WSUS.

  • Za Windows Server 2008 R2 SP1 morate da instalirate ispravku servisiranog steka (SSU) (KB4490628)koja je dat 12. marta 2019. Kada instalirate ispravku KB4490628, preporučujemo da instalirate najnoviju SSU ispravku. Više informacija o najnovijoj ispravki za SSU potražite u temi ADV990001 | Najnovije ispravke servisnog steka.

  • Za Windows Server 2008 SP2, morate da imate instaliranu ispravku steka za servisiranje (SSU) (KB4493730) koja je dat 9. aprila 2019. Nakon instalacije ispravke KB4493730, preporučujemo da instalirate najnoviju SSU ispravku. Više informacija o najnovijim ispravkama za SSU potražite u temi ADV990001 | Najnovije ispravke servisnog steka.

  • Klijenti treba da kupe proširenu bezbednosnu ispravku (ESU) za verzije na lokaciji sistema Windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 posle produžene podrške koja je završena 14. januara 2020. Klijenti koji su kupili ESU moraju da prate procedure iz KB4522133 da bi nastavili da primaju bezbednosne ispravke. Dodatne informacije o ESU i o tome koja su izdanja podržana potražite u kB4497181.

VažnoMorate ponovo da pokrenete uređaj kada instalirate ove potrebne ispravke.

Instalirajte ispravku

Da biste rešili bezbednosnu ranjivost, instalirajte ispravke Windows omogućite režim sprovođenja tako što ćete pratiti ove korake.

Upozorenje Do poteškoća sa potvrdom identiteta može doći Windows do ovih ispravki i ako se vrednost registratora dosledno primenjuje u jednom od sledećih scenarija:

  • Ispravka za domen 8. decembar 2020. Windows se dosledno instalira na Active Directory upravljačima domena, a vrednost NonForwardableDelegation postavljena je na 0 nedosledno na tim kontrolerima domena.

  • Ispravka za Windows 9. marta 2021. instalira se dosledno na Active Directory kontrolerima domena koji su implicitno omogućeni tako što ćete prvo instalirati ispravku za 8. Windows decembar 2020. na svim Windows Server 2008 R2 ili ranijim Active Directory kontrolerima domena koji se nalaze na domenima Caller, Posredni ili Ciljni.

Važno I Windows i vrednost registratora moraju dosledno da se primene na ALL Active Directory kontrolere domena u okruženju.


1. korak: Instaliranje Windows ažuriranja

Instalirajte ispravku od 8. decembra 2 Windows 020. ili noviju Windows ažurirajte na sve uređaje koji hostuju ulogu kontrolera domena aktivnog direktorijuma u šumi, uključujući kontrolere domena samo za čitanje.

Windows Server proizvoda

KB #

Tip ažuriranja

Windows Server, verzija 20H2 (instalacija kose servera)

4592438

Bezbednosna ispravka

Windows Server, verzija 2004 (instalacija serverske core)

4592438

Bezbednosna ispravka

Windows Server, verzija 1909 (instalacija na serveru)

4592449

Bezbednosna ispravka

Windows Server, verzija 1903 (instalacija serverske core)

4592449

Bezbednosna ispravka

Windows Server 2019 (instalacija na serveru core)

4592440

Bezbednosna ispravka

Windows Server 2019

4592440

Bezbednosna ispravka

Windows Server 2016 (instalacija na serveru core)

4593226

Bezbednosna ispravka

Windows Server 2016

4593226

Bezbednosna ispravka

Windows Server 2012 R2 (instalacija serverske core)

4592484

Mesečna zbirna ispravka

4592495

Samo bezbednost

Windows Server 2012 R2

4592484

Mesečna zbirna ispravka

4592495

Samo bezbednost

Windows Server 2012 (instalacija serverske core)

4592468

Mesečna zbirna ispravka

4592497

Samo bezbednost

Windows Server 2012

4592468

Mesečna zbirna ispravka

4592497

Samo bezbednost

Windows Server 2008 R2 servisni paket 1

4592471

Mesečna zbirna ispravka

4592503

Samo bezbednost

Windows Server 2008 sa servisnim paketom 2

4592498

Mesečna zbirna ispravka

4592504

Samo bezbednost

2. korak: Omogućavanje režima sprovođenja

Kada se ažuriraju svi uređaji koji hostuje ulogu active Directory kontrolera domena, sačekajte najmanje ceo dan da biste omogućili istek svih nesrazumnjenih usluga za korisnika (S4U2self) Kerberos. Zatim omogućite punu zaštitu primenom režima sprovođenja. Da biste to uradio, omogućite ključ registratora režima sprovođenja.

Upozorenje Ako neispravno izmenite registrator pomoću uređivača registratora ili na neki drugi način, može doći do ozbiljnih problema. Zbog ovih problema ćete možda zahtevati da ponovo instalirate operativni sistem. Microsoft ne može da garantuje da se ovi problemi mogu rešiti. Registrator menjate na sopstveni rizik.

Napomišite Ova vrednost registratora nije kreirana instaliranjem ove ispravke. Morate ručno da dodate ovu vrednost registratora.

Potključ registratora

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Vrednost

NonForwardableDelegation

Tip podataka

REG_DWORD

Podaci

1:Onemogućava režim sprovođenja.  

0:Omogućava režim sprovođenja. Ovo je zaštićeno stanje.

Podrazumevano

1

Da li je potrebno ponovno pokretanje?

Ne


Napomene o vrednosti registratora "NonForwardableDelegation":

  • Ako je vrednost registratora podešena, ona će imati pre toga postavku režima sprovođenja uključenu u ažuriranja Windows 9. marta 2021.

    • Ako je vrednost registratora postavljena na 1 (Onemogući), prosleđivanje će biti dozvoljeno na kartama za uslugu Kerberos koje NISU označene kao prosleđene.

    • Ako je vrednost registratora postavljena na 0 (Omogući), prosleđivanje neće biti dozvoljeno na kartama usluge Kerberos koje NISU označene kao prosleđene.

  • Ako vaš domen uključuje Windows Server 2008 R2 ili starije Active Directory kontrolere domena, ne morate da podesite režim sprovođenja jer ovi kontroleri domena ne podržavaju RBCD.

  • Dosledno ažuriranje svih Active Directory kontrolera domena prilikom omogućavanja režima sprovođenja dovodi do poteškoća sa delenjem usluge.

  • Pre postavljanja režima sprovođenja:

    • Svi active Directory kontroleri domena moraju da se ažuriraju ispravkom domena od 8. decembra 2020. Windows ili novijim Windows ispravkama i

    • Sve nesvakidašnje S4USelf Kerberos karte za uslugu moraju isteći tako što ćete sačekati dan nakon dovršavanja primene Windows ažuriranja na sve Active Directory kontrolere domena.

Dodatna razmatranja

Kada je ova zaštita omogućena, ona unificira logiku za Resource-Based Ograničeno delegiranje (RBCD) sa prvobitnim ograničenim delegiranjem. To može da izazove probleme u sledeća dva scenarija:

  • Jedna usluga istovremeno koristi originalno Kerberos ograničeno delemanje (KCD) bez prelaza protokola na jedan cilj dok koristi RBCD sa prelazom protokola na drugi. Posle ove promene, zabrana prelaza protokola primeniće se na oba stila delegiranja.

  • RBCD se koristi u domenu koji koristi kontrolere domena koji nisu ažurirani verzijaMA CVE-2020-16996 ili starijim verzijama sistema Windows Server (starijim od sistema Window Server 2012) koji nema dostupnu ispravku za CVE-2020-16996. Ključni centri za distribuciju (KDC-ove) koji nisu ažurirani neće označiti zastavicom tikete usluge S4USelf Kerberos u redu za delemiranje i prelaz protokola će biti odbijen.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×