Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

AŽURIRA 20. mart 2023. – Odeljak "Dostupnost"

Rezime

Remote Protocol Distributed Component Object Model (DCOM) je protokol za izlaženje objekata aplikacije pomoću poziva udaljene procedure (RPC pozivi). DCOM se koristi za komunikaciju između softverskih komponenti umreženih uređaja. Za CVE-2021-26414 neophodne su oštre promene u DCOM-u. Zato preporučujemo da proverite da li klijentske ili serverske aplikacije u okruženju koje koriste DCOM ili RPC rade kao što se očekuje sa omogućenim oštre promene.

Beleške Preporučujemo da instalirate najnoviju dostupnu bezbednosnu ispravku. Oni pružaju naprednu zaštitu od najnovijih bezbednosnih pretnji. One takođe pružaju mogućnosti koje smo dodali podršci migraciji. Dodatne informacije i kontekst o tome kako očvršćamo DCOM potražite u članku Očvršćavanje DCOM potvrde identiteta : šta treba da znate.

Prva faza ispravki za DCOM objavljena je 8. juna 2021. U toj ispravki, DCOM ojačavanje je podrazumevano onemogućeno. Možete da ih omogućite tako što ćete izmeniti registrator kao što je opisano u dolenavedenom odeljku "Postavka registratora da biste omogućili ili onemogućili ojačene promene". Druga faza ispravki za DCOM objavljena je 14. juna 2022. To je promenilo otežavanje u podrazumevano omogućeno, ali je zadržalo mogućnost onemogućavanja promena pomoću postavki ključa registratora. Poslednja faza DCOM ispravki biće objavljena u martu 2023. On će omogućiti DCOM ojačavanje i ukloniti mogućnost da ga onemogućite.

Vremenskoj osi

Ažuriranje izdanja

Promena ponašanja

8. jun 2021.

1. faza izdanja – Ojacavanje promena je podrazumevano onemogućeno, ali sa mogućnostim da ih omogućite pomoću ključa registratora.

14. jun 2022.

2. faza izdanja – Ojacavanje promena je podrazumevano omogućeno, ali sa mogućnostim da ih onemogućite pomoću ključa registratora.

14. mart 2023.

3. faza – Ojacavanje promena je podrazumevano omogućeno bez mogućnosti da ih onemogućite. Do sada morate da rešite sve probleme sa kompatibilnošću sa otežjućim promenama i aplikacijama u okruženju.

Testiranje kompatibilnosti DCOM očvršćavanja

Novi događaji DCOM greške

Da bismo vam pomogli da identifikujete aplikacije koje imaju probleme sa kompatibilnošću kada omogućimo promene Očvršćavanja DCOM zaštite, dodali smo nove događaje DCOM grešaka u sistemsku evidenciju. Pogledajte dolenavedene tabele. Sistem će evidentirati ove događaje ako otkrije da DCOM klijentske aplikacije pokušava da aktivira DCOM server koristeći nivo potvrde identiteta koji je manji od RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Možete da pratite klijentski uređaj iz evidencije događaja na strani servera i koristite evidencije događaja na strani klijenta da biste pronašli aplikaciju.

Događaji servera - Naznačite da server prima zahteve nižeg nivoa

ID događaja

Poruku

10036

"Smernice za nivo potvrde identiteta na strani servera ne dozvoljavaju korisniku %1\%2 SID (%3) sa adrese %4 da aktivira DCOM server. Podignite nivo potvrde identiteta aktivacije najmanje da RPC_C_AUTHN_LEVEL_PKT_INTEGRITY u klijentskom aplikaciji".

(%1 – domen, %2 – korisničko ime, %3 – SID korisnika, %4 – IP adresa klijenta)

Događaji klijenta – Označava koja aplikacija šalje zahteve nižeg nivoa

ID događaja

Poruku

10037

"Aplikacija %1 sa PID-om %2 zahteva da aktivira CLSID %3 na računaru %4 sa izričito postavljenim nivoom potvrde identiteta na %5. Najniži nivo potvrde identiteta aktivacije koji zahteva DCOM je 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Da biste podigli nivo potvrde identiteta aktivacije, obratite se prodavcu aplikacije."

10038

"Aplikacija %1 sa PID-om %2 zahteva da aktivira CLSID %3 na računaru %4 sa podrazumevanim nivoom potvrde identiteta aktivacije na %5. Najniži nivo potvrde identiteta aktivacije koji zahteva DCOM je 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Da biste podigli nivo potvrde identiteta aktivacije, obratite se prodavcu aplikacije."

(%1 – putanja aplikacije, %2 – PID aplikacije, %3 – CLSID COM klase koju aplikacija zahteva za aktiviranje, %4 – Ime računara, %5 – vrednost nivoa potvrde identiteta)

Raspoloživost

Ovi događaji grešaka dostupni su samo za podskup verzija operativnog sistema Windows; pogledajte dolenavedenu tabelu.

Verzija operativnog sistema Windows

Dostupno dana ili posle ovih datuma

Windows Server 2022

27. septembar 2021.

KB5005619

Windows 10, verzija 2004, Windows 10, verzija 20H2, Windows 10, verzija 21H1

1. septembar 2021.

KB5005101

Windows 10, verzija 1909

26. avgust 2021.

KB5005103

Windows Server 2019, Windows 10, verzija 1809

26. avgust 2021.

KB5005102

Windows Server 2016, Windows 10, verzija 1607

14. septembar 2021.

KB5005573

Windows Server 2012 R2 i Windows 8.1

12. oktobar 2021.

KB5006714

Windows 11, verzija 22H2

30. septembar 2022.

KB5017389

Zahtev na strani klijenta za zakrpi za automatsko unošenje

Nivo potvrde identiteta za sve zahteve za aktivacijom koji nisu anonimni

Da bismo smanjili probleme sa kompatibilnošću aplikacija, automatski smo podigli nivo potvrde identiteta za sve zahteve za ne-anonimnom aktivacijom sa Windows D RPC_C_AUTHN_LEVEL_PKT_INTEGRITY COM klijenata na minimum. Uz ovu promenu, većina zahteva DCOM klijenta zasnovanih na operativnom sistemu Windows biće automatski prihvaćena sa omogućenim DCOM ojačajućim promenama na strani servera bez ikakve dalje izmene DCOM klijenta. Pored toga, većina Windows DCOM klijenata će automatski raditi sa DCOM oštvršenim promenama na strani servera bez ikakve dalje izmene DCOM klijenta.

Beleške Ova zakrpa će i dalje biti uključena u kumulativne ispravke.

Vremenska osa ažuriranja zakrpa

Od početnog izdanja u novembru 2022, zakrpa za automatsko podizanje je imala nekoliko ispravki.

  • Ispravka za novembar 2022.

    • Ova ispravka je automatski podigla nivo potvrde identiteta aktivacije na integritet paketa. Ova promena je podrazumevano onemogućena u sistemima Windows Server 2016 i Windows Server 2019.

  • Ispravka za decembar 2022.

    • Novembar je podrazumevano omogućena za Windows Server 2016 i Windows Server 2019.

    • Ova ispravka je takođe rešila problem koji je uticao na anonimnu aktivaciju u sistemima Windows Server 2016 i Windows Server 2019.

  • Ispravka iz januara 2023.

    • Ova ispravka je rešila problem koji je uticao na anonimnu aktivaciju na platformama od Windows Server 2008 do Windows 10 (početna verzija objavljena u julu 2015.).

Ako ste instalirali kumulativne bezbednosne ispravke od januara 2023. na klijente i servere, oni će imati potpuno omogućenu najnoviju automatsko podebljanje zakrpa.

Postavka registratora za omogućavanje ili onemogućavanje oštećujućih promena

Tokom faza vremenske ose u kojima možete da omogućite ili onemogućite oštećujuće promene za CVE-2021-26414, možete da koristite sledeći ključ registratora:

  • Putanja: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Ime vrednosti: "RequireIntegrityActivationAuthenticationLevel"

  • Tip: dword

  • Podaci o vrednosti: podrazumevano= 0x00000000 znači onemogućeno. 0x00000001 znači omogućeno. Ako ova vrednost nije definisana, podrazumevano će biti omogućena.

Beleške Podatke o vrednosti morate da unesete u heksadecimalni format.

Vaћno Morate ponovo pokrenuti uređaj nakon podešavanja ovog ključa registratora da bi on vršen.

Beleške Omogućavanjem gorenavedenog ključa registratora DCOM serveri nameću Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ili noviju verziju za aktivaciju. Ovo ne utiče na anonimnu aktivaciju (aktivacija korišćenjem nivoa potvrde identiteta RPC_C_AUTHN_LEVEL_NONE). Ako DCOM server dozvoljava anonimnu aktivaciju, ona će i dalje biti dozvoljena čak i sa omogućenim promenama DCOM ojačavanja.

Beleške Ova vrednost registratora ne postoji podrazumevano; morate da ga kreirate. Windows će je pročitati ako postoji i neće ga zameniti.

Beleške Instalacija novijih ispravki neće promeniti niti će ukloniti postojeće stavke i postavke registratora.

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.