Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019

VIKTIGT Datumet för tillämpningsläget, som tidigare nämnts i den här artikeln, har ändrats till den 9 mars 2021. 

Sammanfattning

Om du använder RBCD (Protected Users and Resource-Based Constrained Delegation) kan det finnas ett säkerhetshål på Active Directory-domänkontrollanter. Mer information om säkerhetsrisken finns i CVE-2020-16996.

Vidta åtgärder

För att skydda din miljö och förhindra avbrott måste du göra följande:

  1. Uppdatera alla enheter som har rollen Active Directory-domänkontrollant genom att installera uppdateringen från den 8 december 2020 Windows eller en senare Windows uppdatering. Observera att säkerhetsproblemet inte minimeras Windows uppdateringen inte helt installeras. Du måste utföra steg 2.

  2. Aktivera tvingande läge på alla Active Directory-domänkontrollanter. Från och med uppdateringen från den 9 mars 2021 kan tillämpningsläget aktiveras för Windows domänkontrollanter.

Tidsinställningar för uppdateringar

Dessa Windows uppdateringar kommer att släppas i två faser:

  • Den första distributionsfasen för Windows uppdateringar som släpptes den 8 december 2020 eller senare.

  • Tvingande fas för Windows uppdateringar som släpptes den 9 mars 2021 eller senare.

8 december 2020: Den första distributionsfasen

Den första distributionsfasen startar med Windows uppdatering som släpptes den 8 december 2020 och fortsätter med en senare Windows uppdatering för tillämpningsfasen. Dessa och senare Windows gör ändringar i Kerberos.

Den här versionen:

  • Adresser CVE-2020-16996 (inaktiverad som standard).

  • Lägger till stöd för registervärdet NonForwardableDelegation för att aktivera skydd på Active Directory-domänkontrollantservrar. Som standard finns inte värdet.

Minskningar består av installationen av Windows-uppdateringar på alla enheter som har rollen Active Directory-domänkontrollant och skrivskyddade domänkontrollanter (PC) och sedan aktivera tillämpningsläge.

9 mars 2021: Tillämpningsfasen

Version från 9 mars 2021 går över till tillämpningsfasen. Tillämpningsfasen tillämpar ändringarna för att hantera CVE-2020-16996. Active Directory-domänkontrollanter kommer nu att vara i tillämpningsläge om inte registernyckeln för tvingande läge är inställd på 1 (inaktiverad). Om registernyckeln för tillämpningsläge anges används inställningen. Om du går till läget Tvingande krävs att alla Active Directory-domänkontrollanter har uppdateringen från den 8 december 2020 eller en senare uppdatering installerad.

Installationsvägledning

Innan du installerar den här uppdateringen

Du måste ha följande uppdateringar installerade innan du kan installera den här uppdateringen. Om du använder Windows- eller uppdatering erbjuds dessa nödvändiga uppdateringar automatiskt vid behov.

  • Du måste ha SHA-2-uppdateringen (KB4474419)från den 23 september 2019 eller en senare SHA-2-uppdatering installerad och starta om enheten innan du använder den här uppdateringen. Mer information om SHA-2-uppdateringar finns i 2019 krav på stöd för SHA-2-kodsignering för Windows och WSUS.

  • För Windows Server 2008 R2 SP1 måste du ha installerat servicestackuppdateringen (SSU) (KB4490628)som är daterad den 12 mars 2019. När uppdateringen KB4490628 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om den senaste SSU-uppdateringen finns i ADV990001 | Senaste Service Stack-uppdateringar.

  • För Windows Server 2008 SP2 måste du ha installerat servicestackuppdateringen (SSU) (KB4493730)som är daterad den 9 april 2019. När uppdateringen KB4493730 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om de senaste SSU-uppdateringarna finns i ADV990001 | Senaste Service Stack-uppdateringar.

  • Kunder måste köpa den utökade säkerhetsuppdateringen (ESU) för lokala versioner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 efter att utökad support upphörde den 14 januari 2020. Kunder som har köpt ESU måste följa procedurerna i KB4522133 för att fortsätta ta emot säkerhetsuppdateringar. Mer information om ESU och vilka versioner som stöds finns i KB4497181.

ViktigtDu måste starta om enheten när du har installerat de här nödvändiga uppdateringarna.

Installera uppdateringen

Du kan lösa säkerhetsproblemet genom att installera Windows säkerhetsuppdateringar och aktivera tvingande läge genom att följa anvisningarna nedan.

Varning Tillfälliga autentiseringsproblem kan uppstå om dessa Windows uppdateringar och registervärdet tillämpas inkonsekvent i en eller båda följande scenarier:

  • Uppdateringen från den 8 december 2020 Windows installeras inkonsekvent på Active Directory-domänkontrollanterna och värdet för EjForwardableDelegation är inkonsekvent inkonsekvent för dessa domänkontrollanter.

  • Uppdateringen från 9 mars 2021 Windows installeras inkonsekvent på Active Directory-domänkontrollanterna som aktiveras implicit genom att först installera Windows-uppdateringen från den 8 december 2020 på alla domänkontrollanter för Windows Server 2008 R2 eller tidigare Active Directory som finns i domäner som anropar, mellanliggande eller har som måldomän.

Viktigt Både Windows uppdateringar och registervärdet måste tillämpas konsekvent på ALLA Active Directory-domänkontrollanter i din miljö.

Steg 1: Installera Windows uppdateringen

Installera uppdateringen från den 8 december 2020 Windows eller en senare Windows-uppdatering för alla enheter som har rollen Active Directory-domänkontrollant i skogen, inklusive skrivskyddade domänkontrollanter.

Windows Server-produkt

KB #

Typ av uppdatering

Windows Server, version 20H2 (Server Core Installation)

4592438

Säkerhetsuppdatering

Windows Server, version 2004 (Core-installation av server)

4592438

Säkerhetsuppdatering

Windows Server, version 1909 (Server Core-installation)

4592449

Säkerhetsuppdatering

Windows Server, version 1903 (Server Core-installation)

4592449

Säkerhetsuppdatering

Windows Server 2019 (Grundläggande installation av server)

4592440

Säkerhetsuppdatering

Windows Server 2019

4592440

Säkerhetsuppdatering

Windows Server 2016 (Kärninstallation av server)

4593226

Säkerhetsuppdatering

Windows Server 2016

4593226

Säkerhetsuppdatering

Windows Server 2012 R2 (Core-installation av server)

4592484

Månatlig samlad uppdatering

4592495

Endast säkerhet

Windows Server 2012 R2

4592484

Månatlig samlad uppdatering

4592495

Endast säkerhet

Windows Server 2012 (Kärninstallation av server)

4592468

Månatlig samlad uppdatering

4592497

Endast säkerhet

Windows Server 2012

4592468

Månatlig samlad uppdatering

4592497

Endast säkerhet

Windows Server 2008 R2 Service Pack 1

4592471

Månatlig samlad uppdatering

4592503

Endast säkerhet

Windows Server 2008 service pack 2

4592498

Månatlig samlad uppdatering

4592504

Endast säkerhet

Steg 2: Aktivera tillämpningsläge

När alla enheter som har rollen Active Directory-domänkontrollant har uppdaterats väntar du minst en hel dag för att tillåta att alla utestående tjänster för användare upphör att gälla (S4U2self) Kerberos-tjänster. Aktivera sedan fullständigt skydd genom att distribuera tillämpningsläget. Det gör du genom att aktivera registernyckeln för tillämpningsläge.

Varning Om du ändrar i registret på fel sätt med Registereditorn eller någon annan metod kan det orsaka allvarliga problem. De här problemen kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att problemen kan lösas. Du ändrar registret på egen risk.

Obs! Det här registervärdet skapas inte genom att installera den här uppdateringen. Du måste lägga till registervärdet manuellt.

Registerundernyckel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Värde

NonForwardableDelegation

Datatyp

REG_DWORD

Data

1:Inaktiverar tvingande läge.  

0:Aktiverar tvingande läge. Det här är det skyddade läget.

Standard

Krävs en omstart?

Nej

Kommentarer till registervärdet "EjforwardableDelegation":

  • Om registervärdet anges har det företräde framför inställningen för tillämpningsläge som ingår i uppdateringen från den 9 mars 2021 Windows tvingande.

    • Om registervärdet är inställt på 1 (Inaktivera) tillåts vidarebefordran för Kerberos-tjänstärenden som INTE har markerats som vidarebefordrade.

    • Om registervärdet är 0 (aktivera) tillåts inte vidarebefordran på Kerberos-tjänstärenden som INTE kan vidarebefordras.

  • Om din domän innehåller Windows Server 2008 R2 eller tidigare Active Directory-domänkontrollanter behöver du inte ange tillämpningsläge eftersom dessa domänkontrollanter inte stöder RBCD.

  • Om du inte konsekvent uppdaterar alla Active Directory-domänkontrollanter när du aktiverar tvingande läge kommer det att resultera i upprepade fel vid delegering av tjänster.

  • Innan du anger tillämpningsläge:

    • Alla domänkontrollanter för Active Directory måste uppdateras med uppdateringen från den 8 december 2020 Windows den Windows uppdateringen och

    • Alla utestående S4USelf Kerberos-tjänstebiljetter måste ha upphört att gälla. Vänta en dag efter att Windows-uppdateringsdistributionen har distribuerats till alla Active Directory-domänkontrollanter.

Ytterligare överväganden

Om det här skyddet är aktiverat är logiken för Resource-Based begränsad delegering (RBCD) enhetlig med den ursprungliga begränsade delegeringen. Det här kan orsaka problem i följande två scenarier:

  • En enskild tjänst använder samtidigt den ursprungliga KCD-delegeringen (Kerberos Constrained Delegation) utan protokollövergång till ett mål medan den använder RBCD med protokollövergång till en annan. Efter den här ändringen tillämpas övergången för denial of protocol på båda delegeringsformaten.

  • RBCD används i en domän som använder domänkontrollanter som inte är uppdaterade med CVE-2020-16996 eller som kör äldre versioner av Windows Server (äldre än Window Server 2012) som inte har en tillgänglig uppdatering för CVE-2020-16996. Key Distribution Centers (KDCs) som inte uppdateras kommer inte att flagga S4USelf Kerberos-tjänstärenden som okej för delegering och protokollövergång kommer att nekas.

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.