VAŽNO Datum za režim sprovođenja kao što je prethodno poznato u ovom članku promenjen je u 9. mart 2021. |
Rezime
Ako koristite zaštićene korisnike i ograničeno delegiranje zasnovano na resursima (RBCD), bezbednosna ranjivost može postojati na Active Directory kontrolerima domena. Da biste saznali više o bezbednosnoj ranjivosti, pogledajte CVE-2020-16996.
Preuzmi radnju Morate da uradite sledeće da biste zaštitili okruženje i sprečili prekšćanja:
|
Vremenski protok ispravki
Ove Windows će biti objavljene u dve faze:
-
Početna faza primene za Windows objavljene 8. decembra 2020. ili posle toga.
-
Faza sprovođenja za Windows ispravke objavljene 9. marta 2021. ili posle 9. marta 2021.
8. decembar 2020. : Faza početne primene
Početna faza primene počinje ispravkom Windows objavljenom 8. decembra 2020. i nastavlja se uz kasnije Windows za fazu sprovođenja. Ovo i Windows Windows promene u kerberos.
Ovo izdanje:
-
Adrese CVE-2020-16996 (podrazumevano onemogućene).
-
Dodaje podršku za vrednost registratora NonForwardableDelegation da bi se omogućila zaštita na Active Directory serverima kontrolera domena. Vrednost podrazumevano ne postoji.
Mitigation se sastoji od instalacije ispravki Windows na svim uređajima koji hostuje ulogu active Directory kontrolera domena i kontrolere domena samo za čitanje (RODC-ove), a zatim omogućavaju režim sprovođenja.
9. mart 2021. : Faza sprovođenja
Izdanje od 9. marta 2021. prelazi u fazu sprovođenja. Faza sprovođenja nalaže promene koje se primenjuju na CVE-2020-16996. Active Directory kontroleri domena će sada biti u režimu sprovođenja, osim ako je ključ registratora režima sprovođenja postavljen na 1 (Onemogućeno). Ako je podešen ključ registratora režima sprovođenja, postavka će biti poštovana. Pređi na režim sprovođenja zahteva da svi Active Directory kontroleri domena imaju instaliranu ispravku ili noviju ispravku od 8. decembra 2020.
Uputstvo za instalaciju
Pre instaliranja ove ispravke
Morate da imate sledeće potrebne ispravke instalirane pre nego što primenite ovu ispravku. Ako koristite Windows ažuriranje, te potrebne ispravke će automatski biti ponuđene po potrebi.
-
Morate da imate instaliranu SHA-2 ispravku (KB4474419) koja je datirana 23. septembra 2019. ili novija SHA-2 ispravka, a zatim ponovo pokrenite uređaj pre nego što primenite ovu ispravku. Više informacija o ispravkama za SHA-2 potražite u 2019 sha-2zahtevu za podršku za potpisivanje kodova za Windows i WSUS.
-
Za Windows Server 2008 R2 SP1 morate da instalirate ispravku servisiranog steka (SSU) (KB4490628)koja je dat 12. marta 2019. Kada instalirate ispravku KB4490628, preporučujemo da instalirate najnoviju SSU ispravku. Više informacija o najnovijoj ispravki za SSU potražite u temi ADV990001 | Najnovije ispravke servisnog steka.
-
Za Windows Server 2008 SP2, morate da imate instaliranu ispravku steka za servisiranje (SSU) (KB4493730) koja je dat 9. aprila 2019. Nakon instalacije ispravke KB4493730, preporučujemo da instalirate najnoviju SSU ispravku. Više informacija o najnovijim ispravkama za SSU potražite u temi ADV990001 | Najnovije ispravke servisnog steka.
-
Klijenti treba da kupe proširenu bezbednosnu ispravku (ESU) za verzije na lokaciji sistema Windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 posle produžene podrške koja je završena 14. januara 2020. Klijenti koji su kupili ESU moraju da prate procedure iz KB4522133 da bi nastavili da primaju bezbednosne ispravke. Dodatne informacije o ESU i o tome koja su izdanja podržana potražite u kB4497181.
VažnoMorate ponovo da pokrenete uređaj kada instalirate ove potrebne ispravke.
Instalirajte ispravku
Da biste rešili bezbednosnu ranjivost, instalirajte ispravke Windows omogućite režim sprovođenja tako što ćete pratiti ove korake.
Upozorenje Do poteškoća sa potvrdom identiteta može doći Windows do ovih ispravki i ako se vrednost registratora dosledno primenjuje u jednom od sledećih scenarija:
Važno I Windows i vrednost registratora moraju dosledno da se primene na ALL Active Directory kontrolere domena u okruženju. |
1. korak: Instaliranje Windows ažuriranja
Instalirajte ispravku od 8. decembra 2 Windows 020. ili noviju Windows ažurirajte na sve uređaje koji hostuju ulogu kontrolera domena aktivnog direktorijuma u šumi, uključujući kontrolere domena samo za čitanje.
Windows Server proizvoda |
KB # |
Tip ažuriranja |
Windows Server, verzija 20H2 (instalacija kose servera) |
Bezbednosna ispravka |
|
Windows Server, verzija 2004 (instalacija serverske core) |
Bezbednosna ispravka |
|
Windows Server, verzija 1909 (instalacija na serveru) |
Bezbednosna ispravka |
|
Windows Server, verzija 1903 (instalacija serverske core) |
Bezbednosna ispravka |
|
Windows Server 2019 (instalacija na serveru core) |
Bezbednosna ispravka |
|
Windows Server 2019 |
Bezbednosna ispravka |
|
Windows Server 2016 (instalacija na serveru core) |
Bezbednosna ispravka |
|
Windows Server 2016 |
Bezbednosna ispravka |
|
Windows Server 2012 R2 (instalacija serverske core) |
Mesečna zbirna ispravka |
|
Samo bezbednost |
||
Windows Server 2012 R2 |
Mesečna zbirna ispravka |
|
Samo bezbednost |
||
Windows Server 2012 (instalacija serverske core) |
Mesečna zbirna ispravka |
|
Samo bezbednost |
||
Windows Server 2012 |
Mesečna zbirna ispravka |
|
Samo bezbednost |
||
Windows Server 2008 R2 servisni paket 1 |
Mesečna zbirna ispravka |
|
Samo bezbednost |
||
Windows Server 2008 sa servisnim paketom 2 |
Mesečna zbirna ispravka |
|
Samo bezbednost |
2. korak: Omogućavanje režima sprovođenja
Kada se ažuriraju svi uređaji koji hostuje ulogu active Directory kontrolera domena, sačekajte najmanje ceo dan da biste omogućili istek svih nesrazumnjenih usluga za korisnika (S4U2self) Kerberos. Zatim omogućite punu zaštitu primenom režima sprovođenja. Da biste to uradio, omogućite ključ registratora režima sprovođenja.
Upozorenje Ako neispravno izmenite registrator pomoću uređivača registratora ili na neki drugi način, može doći do ozbiljnih problema. Zbog ovih problema ćete možda zahtevati da ponovo instalirate operativni sistem. Microsoft ne može da garantuje da se ovi problemi mogu rešiti. Registrator menjate na sopstveni rizik.
Napomišite Ova vrednost registratora nije kreirana instaliranjem ove ispravke. Morate ručno da dodate ovu vrednost registratora.
Potključ registratora |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Vrednost |
NonForwardableDelegation |
Tip podataka |
REG_DWORD |
Podaci |
1:Onemogućava režim sprovođenja. 0:Omogućava režim sprovođenja. Ovo je zaštićeno stanje. |
Podrazumevano |
1 |
Da li je potrebno ponovno pokretanje? |
Ne |
Napomene o vrednosti
registratora "NonForwardableDelegation":
-
Ako je vrednost registratora podešena, ona će imati pre toga postavku režima sprovođenja uključenu u ažuriranja Windows 9. marta 2021.
-
Ako je vrednost registratora postavljena na 1 (Onemogući), prosleđivanje će biti dozvoljeno na kartama za uslugu Kerberos koje NISU označene kao prosleđene.
-
Ako je vrednost registratora postavljena na 0 (Omogući), prosleđivanje neće biti dozvoljeno na kartama usluge Kerberos koje NISU označene kao prosleđene.
-
-
Ako vaš domen uključuje Windows Server 2008 R2 ili starije Active Directory kontrolere domena, ne morate da podesite režim sprovođenja jer ovi kontroleri domena ne podržavaju RBCD.
-
Dosledno ažuriranje svih Active Directory kontrolera domena prilikom omogućavanja režima sprovođenja dovodi do poteškoća sa delenjem usluge.
-
Pre postavljanja režima sprovođenja:
-
Svi active Directory kontroleri domena moraju da se ažuriraju ispravkom domena od 8. decembra 2020. Windows ili novijim Windows ispravkama i
-
Sve nesvakidašnje S4USelf Kerberos karte za uslugu moraju isteći tako što ćete sačekati dan nakon dovršavanja primene Windows ažuriranja na sve Active Directory kontrolere domena.
-
Dodatna razmatranja
Kada je ova zaštita omogućena, ona unificira logiku za Resource-Based Ograničeno delegiranje (RBCD) sa prvobitnim ograničenim delegiranjem. To može da izazove probleme u sledeća dva scenarija:
-
Jedna usluga istovremeno koristi originalno Kerberos ograničeno delemanje (KCD) bez prelaza protokola na jedan cilj dok koristi RBCD sa prelazom protokola na drugi. Posle ove promene, zabrana prelaza protokola primeniće se na oba stila delegiranja.
-
RBCD se koristi u domenu koji koristi kontrolere domena koji nisu ažurirani verzijaMA CVE-2020-16996 ili starijim verzijama sistema Windows Server (starijim od sistema Window Server 2012) koji nema dostupnu ispravku za CVE-2020-16996. Ključni centri za distribuciju (KDC-ove) koji nisu ažurirani neće označiti zastavicom tikete usluge S4USelf Kerberos u redu za delemiranje i prelaz protokola će biti odbijen.