: Utgivningsdatumen som tidigare angetts i den här artikeln har ändrats. Observera de nya versionsdatumen i avsnitten "Vidta åtgärder" och "Tidsinställning för dessa Windows-uppdateringar".
Sammanfattning
Ett säkerhetsfunktionsfördrångsproblemet finns i det sätt som KDC (Key Distribution Center) avgör om en Kerberos-tjänstärende kan användas för delegering via KCD (Kerberos Constrained Delegation). För att utnyttja problemet kan en komprometterad tjänst som är konfigurerad att använda KCD ändra en Kerberos-tjänstärende som inte är giltig för delegering för att tvinga KDC att acceptera det. De här Windows-uppdateringarna åtgärdar problemet genom att ändra hur KDC verifierar Kerberos-tjänstärenden som används med KCD.
Mer information om problemet finns i CVE-2020-17049.
Vidta åtgärder Om du vill skydda din miljö och förhindra avbrott måste du följa alla de här stegen:
|
Tidsinställningar för dessa Windows-uppdateringar
Dessa Windows-uppdateringar kommer att släppas i tre faser:
-
Den inledande distribution för Windows-uppdateringar som släpptes den 8 december 2020 eller senare.
-
En andra distributionsfas som tar bort PerformTicketSignature-inställningen0 och kräver antingen inställningen 1 eller 2,den 13 april 2021 eller senare.
-
Tillämpningsfasen för Windows-uppdateringar som släpptes den 13 juli 2021 eller senare.
8 december 2020: Inledande distributionsfas
Steget inledande distribution med Windows-uppdateringen som släpptes den 8 december 2020 och fortsätter med en senare Windows-uppdatering för tillämpningsfasen. Dessa och senare Windows-uppdateringar gör ändringar i Kerberos. Den här uppdateringen från 8 december 2020 innehåller korrigeringar för alla kända problem som ursprungligen introducerades i versionen från 10 november 2020 av CVE-2020-17049. Den här uppdateringen lägger också till stöd för Windows Server 2008 SP2 och Windows Server 2008 R2.
Den här versionen:
-
Adresser CVE-2020-17049 (i distributionsläge som standard).
-
Lägger till stöd för performTicketSignature-registervärdet för att aktivera skydd på Active Directory-domänkontrollantservrarna. Som standard finns inte det här värdet.
Minskningen består av installation av Windows-uppdateringar på alla enheter som är värd för Active Directory-domänkontrollantrollen och skrivskyddade domänkontrollanter (DOMÄNKONTROLLANT) och sedan aktivering av tvingande läge.
13 april 2021: Andra distributionsfasen
Den andra distributionsfasen startar med Windows-uppdateringen som släpptes den 13 april 2021. Den här fasen tar bort PerformTicketSignature-inställningen0. Inställningen PerformTicketSignature till 0 när uppdateringen har installerats har samma effekt som inställningen PerformTicketSignature till 1. Distributionsdatorerna kommer att vara i distributionsläge.
Kommentarer
-
Den här fasen behövs inte om PerformTicketSignature aldrig har angetts till 0 i din miljö. Den här fasen hjälper till att se till att kunder som anger PerformTicketSignature till 0 flyttas till inställning 1 före tillämpningsfasen.
-
I och med distributionen av uppdateringarna från den 13 april 2021 kan du ange PerformTicketSignature till 1 så att tjänstebiljetter kan förnyas. Det här är en ändring i beteendet från före april 2021 Windows-uppdateringar när du anger PerformTicketSignaturetill 1 som orsakade att serviceärenden inte kan förnyas.
-
Den här uppdateringen förutsätter att alla domänkontrollanter är uppdaterade med uppdateringarna från den 8 december 2020 eller senare.
-
När du har installerat den här uppdateringen och manuellt eller programmässigt ställt in PerformTicketSignature till 1 eller senare fungerar inte längre domänkontrollanter som inte stöds av Windows Server med domänkontrollanter som stöds. Detta omfattar Windows Server 2008 och Windows Server 2008 R2 utan utökade säkerhetsuppdateringar (ESU) och Windows Server 2003.
13 juli 2021: Tillämpningsfasen
Övergången till tillämpningsfasen från den 13 juli 2021 sker. I tvingande fas tillämpas ändringarna av adressen CVE-2020-17049. Active Directory-domänkontrollanter kan nu utföra tillämpningsläget. Om du går till läget för verkställande krävs att alla Active Directory-domänkontrollanter har uppdateringen från den 8 december 2020 eller en senare Windows-uppdatering installerad. För stunden ignoreras registernyckelinställningarna PerformTicketSignature och läget för tvingande åtgärder kan inte åsidosättas.
Installationsvägledning
Innan du installerar den här uppdateringen
Du måste ha följande uppdateringar installerade innan du kan använda den här uppdateringen. Om du använder Windows Update erbjuds dessa nödvändiga uppdateringar automatiskt vid behov.
-
SHA-2-uppdateringen(KB4474419)måste vara daterad den 23 september 2019 eller en senare SHA-2-uppdatering installerad och sedan starta om enheten innan du använder den här uppdateringen. Mer information om SHA-2-uppdateringar finns i 2019 krav för stöd för SHA-2-kodsignering för Windows och WSUS.
-
För Windows Server 2008 R2 SP1 måste du ha installerat service stack update (SSU)(KB4490628)från den 12 mars 2019. När uppdateringen KB4490628 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om den senaste SSU-uppdateringen finns i ADV990001 | Senaste Servicing Stack-uppdateringar.
-
För Windows Server 2008 SP2 måste du ha installerat service stack update (SSU)(KB4493730)från den 9 april 2019. När uppdateringen KB4493730 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om de senaste SSU-uppdateringarna finns i ADV990001 | Senaste Servicing Stack-uppdateringar.
-
Kunder måste köpa den utökade säkerhetsuppdateringen (ESU) för lokala versioner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 när utökad support upphörde 14 januari 2020. Kunder som har köpt ESU måste följa procedurerna i KB4522133 för att fortsätta ta emot säkerhetsuppdateringar. Mer information om ESU och vilka versioner som stöds finns i KB4497181.
ViktigtDu måste starta om enheten när du har installerat de här nödvändiga uppdateringarna.
Installera alla uppdateringar
Lös säkerhetsproblemet genom att installera alla Windows-uppdateringar och aktivera tvingande läge genom att följa de här stegen:
-
Distribuera minst en av uppdateringarna från den 8 december 2020 till den 9 mars 2021 till alla Active Directory-domänkontrollanter i skogen.
-
Distribuera uppdateringen från den 12 april 2021 minst en eller flera veckor efter steg 1.
-
När alla Active Directory-domänkontrollanter har uppdaterats väntar du i minst en hel vecka för att tillåta alla utestående Service for User till Self (S4U2self) Kerberos-tjänstärenden. Därefter kan fullständigt skydd aktiveras genom att distribuera domänkontrollantläget för Active Directory.
Anteckningar-
Om du har ändrat Kerberos-tjänstens utgångstider i standardinställningarna (standard är 7 dagar) måste du vänta minst det antal dagar som har konfigurerats i din miljö.
-
I de här instruktionerna förutsätts att PerformTicketSignature aldrig har angetts till 0 i din miljö. Om PerformTicketSignature har angetts till 0måste du flytta till inställningen 1 innan du flyttar till inställningen 2 (tillämpningsläge) och vänta i minst en vecka så att all utestående tjänst för användare till Self (S4U2self) Kerberos-tjänstärenden går ut. Du bör inte gå direkt från inställning 0 till 2 (tvingande läge).
-
Steg 1: Installera Windows-uppdateringar
Installera lämplig Windows-uppdatering från 8 december 2020 eller en senare Windows-uppdatering för alla enheter som har rollen Active Directory-domänkontrollant i skogen, inklusive skrivskyddade domänkontrollanter.
Windows Server-produkt |
KB # |
Typ av uppdatering |
Windows Server, version 20H2 (Core Installation av server) |
Säkerhetsuppdatering |
|
Windows Server, version 2004 (Server Core-installation) |
Säkerhetsuppdatering |
|
Windows Server, version 1909 (Server Core-installation) |
Säkerhetsuppdatering |
|
Windows Server, version 1903 (Server Core-installation) |
Säkerhetsuppdatering |
|
Windows Server 2019 (Core-installation av server) |
Säkerhetsuppdatering |
|
Windows Server 2019 |
Säkerhetsuppdatering |
|
Windows Server 2016 (Core-installation av server) |
Säkerhetsuppdatering |
|
Windows Server 2016 |
Säkerhetsuppdatering |
|
Windows Server 2012 R2 (Core-installation av server) |
Månatlig samlad uppdatering |
|
Endast säkerhet |
||
Windows Server 2012 R2 |
Månatlig samlad uppdatering |
|
Endast säkerhet |
||
Windows Server 2012 (Core-installation av server) |
Månatlig samlad uppdatering |
|
Endast säkerhet |
||
Windows Server 2012 |
Månatlig samlad uppdatering |
|
Endast säkerhet |
||
Windows Server 2008 R2 Service Pack 1 |
Månatlig samlad uppdatering |
|
Endast säkerhet |
||
Windows Server 2008 service pack 2 |
Månatlig samlad uppdatering |
|
Endast säkerhet |
Steg 2: Aktivera tvingande läge
När alla enheter som är värd för rollen Active Directory-domänkontrollant har uppdaterats väntar du i minst en vecka så att alla utestående S4U2self Kerberos-tjänstärenden upphör att gälla. Aktivera sedan fullständigt skydd genom att distribuera tvingande läge. Det gör du genom att aktivera registernyckeln för tvingande läge.
Varning Om du ändrar i registret på fel sätt med Registereditorn eller någon annan metod kan det orsaka allvarliga problem. De här problemen kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att problemen kan lösas. Du ändrar registret på egen risk.
Obs! Den här uppdateringen introducerar stöd för följande registervärde för att aktivera tvingande läge. Det här registervärdet skapas inte genom att installera den här uppdateringen. Du måste lägga till det här registervärdet manuellt.
Registerundernyckel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Värde |
PerformTicketSignature |
Datatyp |
REG_DWORD |
Data |
1:Aktiverar distributionsläget. Korrigeringen är aktiverad på domänkontrollanten, men Active Directory-domänkontrollanten kräver inte att Kerberos-tjänstärenden följer korrigeringen. Det här läget lägger till stöd för biljettsignaturer på uppdaterade domänkontrollanter i CVE-2020-17049, men domänkontrollanterna kräver inte att biljetter signeras. Det här gör att en blandning av den första distributionsfasen (DCs som uppdaterats till den första distributionsuppdateringen i december) och uppdaterade domänkontrollanter kan samexista. Med alla domänkontrollanter uppdaterade och vid inställning 1signeras alla nya biljetter. I det här läget markeras nya biljetter som förnyelsebara. 2:Aktiverar tvingande läge Det här aktiverar korrigeringen i obligatoriskt läge där alla domäner måste uppdateras och alla Active Directory-domänkontrollanter kräver Kerberos-tjänstärenden med signaturer. Med den här inställningen måste alla biljetter vara signerade för att anses vara giltiga. I det här läget markeras biljetter igen som förnyelsebara. 0: Rekommenderas inte. Inaktiverar Kerberos-tjänstsignaturer för biljetter och domänerna är inte skyddade. Viktigt: Inställningen 0 är inte kompatibel med tvingande inställning 2. Oregelbundna autentiseringsfel kan uppstå om tvingande läge används senare under det att domänen är inställd på 0. Vi rekommenderar kunderna att gå vidare till inställningen 1 innan tillämpningssteget (minst en vecka innan tillämpning tillämpas). |
Standard |
1 (när registernyckeln inte har angetts) |
Krävs en omstart? |
Nej |