|
VIKTIGT Datumet för tillämpningsläget, som tidigare nämnts i den här artikeln, har ändrats till den 9 mars 2021. |
Sammanfattning
Om du använder RBCD (Protected Users and Resource-Based Constrained Delegation) kan det finnas ett säkerhetshål på Active Directory-domänkontrollanter. Mer information om säkerhetsrisken finns i CVE-2020-16996.
|
Vidta åtgärder För att skydda din miljö och förhindra avbrott måste du göra följande:
|
Tidsinställningar för uppdateringar
Dessa Windows uppdateringar kommer att släppas i två faser:
-
Den första distributionsfasen för Windows uppdateringar som släpptes den 8 december 2020 eller senare.
-
Tvingande fas för Windows uppdateringar som släpptes den 9 mars 2021 eller senare.
8 december 2020: Den första distributionsfasen
Den första distributionsfasen startar med Windows uppdatering som släpptes den 8 december 2020 och fortsätter med en senare Windows uppdatering för tillämpningsfasen. Dessa och senare Windows gör ändringar i Kerberos.
Den här versionen:
-
Adresser CVE-2020-16996 (inaktiverad som standard).
-
Lägger till stöd för registervärdet NonForwardableDelegation för att aktivera skydd på Active Directory-domänkontrollantservrar. Som standard finns inte värdet.
Minskningar består av installationen av Windows-uppdateringar på alla enheter som har rollen Active Directory-domänkontrollant och skrivskyddade domänkontrollanter (PC) och sedan aktivera tillämpningsläge.
9 mars 2021: Tillämpningsfasen
Version från 9 mars 2021 går över till tillämpningsfasen. Tillämpningsfasen tillämpar ändringarna för att hantera CVE-2020-16996. Active Directory-domänkontrollanter kommer nu att vara i tillämpningsläge om inte registernyckeln för tvingande läge är inställd på 1 (inaktiverad). Om registernyckeln för tillämpningsläge anges används inställningen. Om du går till läget Tvingande krävs att alla Active Directory-domänkontrollanter har uppdateringen från den 8 december 2020 eller en senare uppdatering installerad.
Installationsvägledning
Innan du installerar den här uppdateringen
Du måste ha följande uppdateringar installerade innan du kan installera den här uppdateringen. Om du använder Windows- eller uppdatering erbjuds dessa nödvändiga uppdateringar automatiskt vid behov.
-
Du måste ha SHA-2-uppdateringen (KB4474419)från den 23 september 2019 eller en senare SHA-2-uppdatering installerad och starta om enheten innan du använder den här uppdateringen. Mer information om SHA-2-uppdateringar finns i 2019 krav på stöd för SHA-2-kodsignering för Windows och WSUS.
-
För Windows Server 2008 R2 SP1 måste du ha installerat servicestackuppdateringen (SSU) (KB4490628)som är daterad den 12 mars 2019. När uppdateringen KB4490628 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om den senaste SSU-uppdateringen finns i ADV990001 | Senaste Service Stack-uppdateringar.
-
För Windows Server 2008 SP2 måste du ha installerat servicestackuppdateringen (SSU) (KB4493730)som är daterad den 9 april 2019. När uppdateringen KB4493730 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om de senaste SSU-uppdateringarna finns i ADV990001 | Senaste Service Stack-uppdateringar.
-
Kunder måste köpa den utökade säkerhetsuppdateringen (ESU) för lokala versioner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 efter att utökad support upphörde den 14 januari 2020. Kunder som har köpt ESU måste följa procedurerna i KB4522133 för att fortsätta ta emot säkerhetsuppdateringar. Mer information om ESU och vilka versioner som stöds finns i KB4497181.
ViktigtDu måste starta om enheten när du har installerat de här nödvändiga uppdateringarna.
Installera uppdateringen
Du kan lösa säkerhetsproblemet genom att installera Windows säkerhetsuppdateringar och aktivera tvingande läge genom att följa anvisningarna nedan.
|
Varning Tillfälliga autentiseringsproblem kan uppstå om dessa Windows uppdateringar och registervärdet tillämpas inkonsekvent i en eller båda följande scenarier:
Viktigt Både Windows uppdateringar och registervärdet måste tillämpas konsekvent på ALLA Active Directory-domänkontrollanter i din miljö. |
Steg 1: Installera Windows uppdateringen
Installera uppdateringen från den 8 december 2020 Windows eller en senare Windows-uppdatering för alla enheter som har rollen Active Directory-domänkontrollant i skogen, inklusive skrivskyddade domänkontrollanter.
|
Windows Server-produkt |
KB # |
Typ av uppdatering |
|
Windows Server, version 20H2 (Server Core Installation) |
Säkerhetsuppdatering |
|
|
Windows Server, version 2004 (Core-installation av server) |
Säkerhetsuppdatering |
|
|
Windows Server, version 1909 (Server Core-installation) |
Säkerhetsuppdatering |
|
|
Windows Server, version 1903 (Server Core-installation) |
Säkerhetsuppdatering |
|
|
Windows Server 2019 (Grundläggande installation av server) |
Säkerhetsuppdatering |
|
|
Windows Server 2019 |
Säkerhetsuppdatering |
|
|
Windows Server 2016 (Kärninstallation av server) |
Säkerhetsuppdatering |
|
|
Windows Server 2016 |
Säkerhetsuppdatering |
|
|
Windows Server 2012 R2 (Core-installation av server) |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2012 R2 |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2012 (Kärninstallation av server) |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2012 |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2008 R2 Service Pack 1 |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2008 service pack 2 |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
Steg 2: Aktivera tillämpningsläge
När alla enheter som har rollen Active Directory-domänkontrollant har uppdaterats väntar du minst en hel dag för att tillåta att alla utestående tjänster för användare upphör att gälla (S4U2self) Kerberos-tjänster. Aktivera sedan fullständigt skydd genom att distribuera tillämpningsläget. Det gör du genom att aktivera registernyckeln för tillämpningsläge.
Varning Om du ändrar i registret på fel sätt med Registereditorn eller någon annan metod kan det orsaka allvarliga problem. De här problemen kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att problemen kan lösas. Du ändrar registret på egen risk.
Obs! Det här registervärdet skapas inte genom att installera den här uppdateringen. Du måste lägga till registervärdet manuellt.
|
Registerundernyckel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Värde |
NonForwardableDelegation |
|
Datatyp |
REG_DWORD |
|
Data |
1:Inaktiverar tvingande läge. 0:Aktiverar tvingande läge. Det här är det skyddade läget. |
|
Standard |
1 |
|
Krävs en omstart? |
Nej |
Kommentarer till registervärdet
"EjforwardableDelegation":
-
Om registervärdet anges har det företräde framför inställningen för tillämpningsläge som ingår i uppdateringen från den 9 mars 2021 Windows tvingande.
-
Om registervärdet är inställt på 1 (Inaktivera) tillåts vidarebefordran för Kerberos-tjänstärenden som INTE har markerats som vidarebefordrade.
-
Om registervärdet är 0 (aktivera) tillåts inte vidarebefordran på Kerberos-tjänstärenden som INTE kan vidarebefordras.
-
-
Om din domän innehåller Windows Server 2008 R2 eller tidigare Active Directory-domänkontrollanter behöver du inte ange tillämpningsläge eftersom dessa domänkontrollanter inte stöder RBCD.
-
Om du inte konsekvent uppdaterar alla Active Directory-domänkontrollanter när du aktiverar tvingande läge kommer det att resultera i upprepade fel vid delegering av tjänster.
-
Innan du anger tillämpningsläge:
-
Alla domänkontrollanter för Active Directory måste uppdateras med uppdateringen från den 8 december 2020 Windows den Windows uppdateringen och
-
Alla utestående S4USelf Kerberos-tjänstebiljetter måste ha upphört att gälla. Vänta en dag efter att Windows-uppdateringsdistributionen har distribuerats till alla Active Directory-domänkontrollanter.
-
Ytterligare överväganden
Om det här skyddet är aktiverat är logiken för Resource-Based begränsad delegering (RBCD) enhetlig med den ursprungliga begränsade delegeringen. Det här kan orsaka problem i följande två scenarier:
-
En enskild tjänst använder samtidigt den ursprungliga KCD-delegeringen (Kerberos Constrained Delegation) utan protokollövergång till ett mål medan den använder RBCD med protokollövergång till en annan. Efter den här ändringen tillämpas övergången för denial of protocol på båda delegeringsformaten.
-
RBCD används i en domän som använder domänkontrollanter som inte är uppdaterade med CVE-2020-16996 eller som kör äldre versioner av Windows Server (äldre än Window Server 2012) som inte har en tillgänglig uppdatering för CVE-2020-16996. Key Distribution Centers (KDCs) som inte uppdateras kommer inte att flagga S4USelf Kerberos-tjänstärenden som okej för delegering och protokollövergång kommer att nekas.
