KB4598347: upravljanje primenom Kerberos S4U promena za CVE-2020-17049

Važno: Datumi objavljivanja koji su prethodno navedeni u ovom članku su promeniti. Obratite pažnju na nove datume izdavanja u odeljku "preduzmi nešto" i "vreme ovih Windows ispravki".

Ukupne

Slabost za zaobilaženje bezbednosti postoji u načinu na koji ključni distribucioni centar (KDC) određuje da li se Kerberos usluga usluge može koristiti za delegiranje preko Kerberos delegacije ograničenja (kcd). Da biste iskoristili ranjivost, kompromitovana usluga koja je podešena da koristi KCD može da radi sa Kurberos kartom usluge koja nije važeća za delegiranje kako bi naterao KDC da ga prihvati. Ove Windows ispravke rešavaju ovu ranjivost tako što se menja način na koji KDC proverava datume Kerberos usluga usluge na sajtu KCD.

Da biste saznali više o ovoj ranjivosti, pogledajte cve-2020-17049

Preduzmite radnju

Da biste zaštitili okolinu i sprečili nestanak, morate slediti sve ove korake:

  1. Ažurirajte sve uređaje koji će biti domaćin uloge kontrolora domena aktivnog direktorijuma tako što ćete instalirati najmanje jednu od Windows ispravki između 8 decembra, 2020 i marta 2021. Imajte u vidu da Instaliranje Windows ispravke nije u potpunosti ublažava bezbednosnu ranjivost. Takođe morate da obavite korake 2 i 3.

  2. Ažurirajte sve uređaje koji će biti domaćin uloge kontrolora domena aktivnog direktorijuma tako što ćete instalirati 2021 Windows Update.

  3. Ivo Režim primene na svim kontrolorima domena aktivnog direktorijuma.

  4. Počevši od 13 jula, 2021 ispravka faze primene, režim primene će biti omogućen na svim kontrolorima sistema Windows.

Tajming ovih Windows ispravki

Ove Windows ispravke će biti objavljene u tri faze:

  • Inicijalna faza primene za Windows koje su objavljene ili posle 8 decembra 2020.

  • Druga faza raspoređivanja koja uklanja Performticketket postavku 0 i zahteva od podešavanje 1 ili 2, na 2021.

  • Faza primene za Windows ispravke objavljene ili posle 2021 13.

8 decembar, 2020: Početna faza primene

Inicijalna faza primene počinje 8, 2020 i nastavlja se sa kasnijim Windows ispravkama za fazu sprovođenja. Ove i novije ispravke operativnog sistema Windows menjaju Kerberos. Ovaj decembar 2020 Update uključuje ispravke za sve poznate probleme koje je prvobitno uveo 10, 2020 izdanje CVE-2020-17049. Ova ispravka takođe dodaje podršku za Windows Server 2008 SP2 i Windows Server 2008 R2.

Ovo izdanje:

  • Adrese CVE-2020-17049 (podrazumevano u režimu primene).

  • Dodaje podršku za vrednost registratora Performticketket radi omogućavanja zaštite na serverima aktivnog direktorijuma. Ova vrednost podrazumevano ne postoji.

Umanjenje se sastoji od instalacije ispravki za Windows na svim uređajima koji su domaćin uloge kontrolora domena Active Directory i kontrolori domena koji su samo za čitanje (RODCs), a zatim se omogućava režim sprovođenjem.

April 13, 2021: druga faza raspoređivanja

Druga faza raspoređivanja počinje pomoću Windows ispravke objavljene 2021. U ovoj fazi se uklanja Performticket potpis0. Podešavanje performticketketa na 0 nakon instaliranja ove ispravke imaće isti efekat kao podešavanje performticketketa na 1. DCs će biti u režimu primene.

Primeć

  • Ova faza nije neophodna ako Performticket potpis nije postavljen na 0 u vašem okruženju. Ova faza pomaže da se uverite da su korisnici koji postavljaju Performticket potpis na 0 , premešteni na Podešavanje 1 pre faze primene .

  • Uz primenu ispravki od 13 aprila 2021, Podešavanje Performticket potpisa na 1 omogućiće da se servisne karte obnovljava. Ovo je promena ponašanja iz pre aprila 2021 ispravki za Windows kada se podešava Performticketket potpis na 1 , a karte za uslugu se ne mogu obnoviti.

  • Ova ispravka pretpostavlja da su svi kontroleri domena ažurirani pomoću programa 8, 2020 ispravke ili novije verzije.

  • Nakon instaliranja ove ispravke i ručno ili programskim postavljanjem Performticket potpisa na 1 ili noviji, Nepodržani Windows Server kontroleri domena više neće raditi sa podržanim kontrolorima domena. To obuhvata Windows Server 2008 i Windows Server 2008 R2 bez proširenih bezbednosnih ispravki (ESU) i Windows servera 2003.

2021: faza primene

2021.. Faza primene nametne promene na adresi CVE-2020-17049. Aktivni direktorijum kontroleri domena sada su sposobni za režim sprovođenja. Odlazak u režim sprovođenja zahteva da svi upravljači domena Active Directory imaju instaliran 8 decembar 2020 Update ili noviju ispravku za Windows. U ovom trenutku, postavke ključa registratora Performticketket će biti zanemarene i režim primene nije moguće poništiti. 

Smernice za instalaciju

Pre instaliranja ove ispravke

Pre primene ove ispravke morate da instalirate sledeće potrebne ispravke. Ako koristite Windows Update, ove neophodne ispravke će se automatski ponuditi po potrebi.

  • Morate imati SHA-2 ispravke (KB4474419) koje datiraju iz septembra 23, 2019 ili novije verzije ispravke Sha-2 i zatim ponovo pokrenite uređaj pre nego što izvršite ovu ispravku. Više informacija o SHA-2 ispravkama potražite u članku 2019 za Sha-2 zahtevi za potpisivanje kodom za Windows i WSUS.

  • Za Windows Server 2008 R2 SP1 mora da ste instalirali servisne ispravke steka (SSU) (KB4490628) sa datumom 2019 12. Kada se instalira ažuriranje KB4490628 , preporučujemo da instalirate najnoviju ssu ispravku. Više informacija o najnovijoj SSU ispravci potražite u članku ADV990001 | Najnovije servisne ispravke steka.

  • Za Windows Server 2008 SP2, mora da ste instalirali servisne ispravke steka (SSU) (KB4493730) sa datumom 9, 2019. Kada se instalira ažuriranje KB4493730 , preporučujemo da instalirate najnoviju ssu ispravku. Više informacija o najnovijim SSU ispravkama potražite u članku ADV990001 | Najnovije servisne ispravke steka.

  • Klijenti su neophodni za kupovinu proširive bezbednosne ispravke (ESU) za lokalne verzije sistema windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 posle završetka proširene podrške u 2020 14. Klijenti koji su kupili ESU moraju da slede procedure u KB4522133 da bi nastavili da primaju bezbednosne ispravke. Više informacija o ESU i izdanjima je podržano potražite u članku KB4497181.

Važno Morate ponovo da pokrenete uređaj kada instalirate ove neophodne ispravke.

Instaliranje svih ispravki

Da biste rešili bezbednosnu ranjivost, instalirajte sve ispravke za Windows i omogućite režim sprovođenja tako što ćete pratiti ove korake:

  1. Primenite najmanje jednu od ispravki iz između 8 decembra, 2020 i 9.marta, 2021 za sve kontrolore domena aktivnog direktorijuma u šumi.

  2. Primenite 12 April, 2021 ažurira najmanje jednu ili više nedelja posle prvog koraka.

  3. Kada se ažuriraju svi upravljači domena Active Directory, Sačekajte barem celu sedmicu da biste dopustili svim izuzetim uslugama za korisnike da se Korisnii samoumeni (S4U2self) Marberos servisni karte isteknu, a zatim punu zaštitu možete da omogućite primenom režima za sprovođenje aktivnog direktorijuma.

    Primeć

    • Ako ste izmenili Kerberos karte za uslugu roka isteka iz podrazumevanih postavki (podrazumevana je 7 dana), onda morate da sačekate najmanje broj dana kao što je podešeno u okruženju.

    • Ovi koraci pretpostavljaju da Performticket potpis nikada nije postavljen na 0 u vašem okruženju. Ako je Performticket potpis postavljen na 0, morate da pređete na postavljanje 1 pre nego što pređete na postavku 2 (režim primene) i sačekajte najmanje nedelju dana da biste dopustili da sve otvorene usluge za korisnike Ne biste trebalo da se pomerate direktno sa podešavanjem 0 na Podešavanje 2 (režim primene).


1. prvi: instaliranje ispravki za Windows

Instalirajte odgovarajući decembar 8, 2020 Windows Update ili noviju ispravku za sve uređaje koji su domaćin uloge kontrolora domena aktivnog direktorijuma u šumi, uključujući i kontrolore domena samo za čitanje.

Windows Server proizvod

MOĆI #

Tip ispravke

Windows Server, verzija 20H2 (instalacija jezgra servera)

4592438

Bezbednosna ispravka

Windows Server, verzija 2004 (instalacija jezgra servera)

4592438

Bezbednosna ispravka

Windows Server, verzija 1909 (instalacija jezgra servera)

4592449

Bezbednosna ispravka

Windows Server, verzija 1903 (instalacija jezgra servera)

4592449

Bezbednosna ispravka

Windows Server 2019 (instalacija jezgra servera)

4592440

Bezbednosna ispravka

Windows Server 2019

4592440

Bezbednosna ispravka

Windows Server 2016 (instalacija jezgra servera)

4593226

Bezbednosna ispravka

Windows Server 2016

4593226

Bezbednosna ispravka

Windows Server 2012 R2 (instalacija jezgra servera)

4592484

Mesečna zbirna vrednost

4592495

Samo bezbednost

Windows Server 2012 R2

4592484

Mesečna zbirna vrednost

4592495

Samo bezbednost

Windows Server 2012 (instalacija jezgra servera)

4592468

Mesečna zbirna vrednost

4592497

Samo bezbednost

Windows Server 2012

4592468

Mesečna zbirna vrednost

4592497

Samo bezbednost

Windows Server 2008 R2 servisni paket 1

4592471

Mesečna zbirna vrednost

4592503

Samo bezbednost

Windows Server 2008 servisni paket 2

4592498

Mesečna zbirna vrednost

4592504

Samo bezbednost

2.2: Omogućavanje režima sprovođenja

Kada svi uređaji koji su host za aktivni domen Active Directory budu ažurirani, Sačekajte barem celu sedmicu da biste dopustili svim otvorenim S4U2self Kerberos servisnim kartama da isteknu. Zatim omogućite potpunu zaštitu pomoću režima za primenu. Da biste to uradili, omogućite ključ registratora za oblikovanje.

Upozoravam Ako pogrešno izmenite registrator pomoću uređivača registratora ili pomoću drugog metoda, može doći do ozbiljnih problema. Ovi problemi mogu da zahtevaju ponovnu instalaciju operativnog sistema. Microsoft ne može da garantuje da se ovi problemi mogu rešiti. Izmenite registrator na sopstveni rizik.

Cedu Ova ispravka uvodi podršku za sledeću vrednost registratora da bi se omogućila funkcija sprovođenja. Ova ispravka se ne kreira instalacijom. Morate ručno da dodate ovu vrednost registratora.

Potključ registratora

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Cenimo

Performticket potpis

Tip podataka

REG_DWORD

Podatak

1: omogućava režim primene. Ispravka je omogućena na kontroloru domena, ali kontroler aktivnog direktorijuma ne zahteva da Kerberos servisni karte odgovaraju ispravci. Ovaj režim pruža podršku za potpise ulaznica na CVE-2020-17049 ažuriranim kontroleri domena, ali kontroleri domena ne zahtevaju potpisivanje ulaznica. To omogućava mešavinu početne faze raspoređivanja (DCs je ažurirano u početnu ispravku za primenu u decembru) i ažurirani kontroleri domena za koegzistaciju. Sa ažuriranim svim kontrolorima domena i na lokaciji 1, biće potpisane sve nove karte. U ovom režimu nove karte će biti označene kao obnovljive.

2: omogućava režim primene ovo omogućava rešavanje potrebnog potrebnog režima gde svi domeni moraju da se ažuriraju i da kontroleri domena Active Directory zahtevaju Kerberos servisne karte sa potpisima. Sa ovom postavkom, sve karte moraju biti potpisane da bi se smatralo važećim. U ovom režimu, karte će ponovo biti označene kao obnovljive.

0: ne preporučuje se. Onemogućava potpise Kerberos servisne karte i domeni nisu zaštićeni.

Važno Postavka 0 nije kompatibilna sa podešavanjem primene 2. Ne može doći do otkazivanja otkazivanja provere identiteta ako se režim primene posle primeni na vrednost 0. Preporučujemo klijentima da izvrše prelazak na 1 pre faze primene (najmanje tjedan dana pre primene primene).

Raz

1 (kada ključ registratora nije postavljen)

Da li je potrebno ponovno pokretanje?

ne

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×