สําคัญ วันที่ของโหมดการบังคับใช้ตามที่ระบุไว้ก่อนหน้าในบทความนี้ได้เปลี่ยนเป็น 9 มีนาคม 2021 |
สรุป
ถ้าคุณใช้ผู้ใช้ที่ได้รับการป้องกันและการมอบสิทธิ์แบบมีข้อห้ามที่ยึดตามทรัพยากร (RBCD) ช่องโหว่ด้านความปลอดภัยอาจมีอยู่บนตัวควบคุมโดเมน Active Directory เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ด้านความปลอดภัย ให้ดูที่CVE-2020-16996
ใช้การแอคชัน เมื่อต้องการป้องกันสภาพแวดล้อมของคุณ และป้องกันไฟไม่ส้ราง คุณต้อง:
|
การจับเวลาของการอัปเดต
การอัปเดตWindowsเหล่านี้จะถูกเผยแพร่ในสองขั้นตอน:
-
ขั้นตอนการปรับใช้เบื้องต้นWindowsการอัปเดตที่เผยแพร่ในวันที่ 8 ธันวาคม 2020 หรือหลังจากนั้น
-
ขั้นตอนการบังคับใช้Windowsการอัปเดตที่เผยแพร่ในวันที่ 9 มีนาคม 2021 หรือหลังวันที่ 9 มีนาคม 2021
8 ธันวาคม 2020: ระยะการปรับใช้เริ่มต้น
ขั้นตอนการปรับใช้เริ่มต้นจะเริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 8 ธันวาคม 2020 และยังคงอัปเดตต่อไปWindowsในช่วงการบังคับใช้ การอัปเดตเหล่านี้และWindowsภายหลังจะเปลี่ยนแปลง Kerberos
รุ่นนี้:
-
ที่อยู่ CVE-2020-16996 (ปิดใช้งานตามค่าเริ่มต้น)
-
เพิ่มการสนับสนุนค่า รีจิสทรี NonForwardableDelegation เพื่อเปิดใช้งานการป้องกันบนเซิร์ฟเวอร์ตัวควบคุมโดเมน Active Directory ตามค่าเริ่มต้น ค่าจะไม่มีอยู่
การลดความเสี่ยงประกอบด้วยการติดตั้งการอัปเดต Windows บนอุปกรณ์ทั้งหมดที่โฮสต์บทบาทตัวควบคุมโดเมน Active Directory และตัวควบคุมโดเมนแบบอ่านอย่างเดียว (CONTROLLER) แล้วเปิดใช้งานโหมดการบังคับใช้
9 มีนาคม 2021: ระยะการบังคับใช้
การเปลี่ยนรุ่นวันที่ 9 มีนาคม 2021 เข้าสู่ขั้นตอนการบังคับใช้ ขั้นตอนการบังคับใช้ บังคับใช้การเปลี่ยนแปลงไปยังที่อยู่ CVE-2020-16996 ตัวควบคุมโดเมน Active Directory จะอยู่ในโหมด การบังคับใช้ เว้นแต่มีการตั้งค่าคีย์รีจิสทรีของโหมดการบังคับใช้เป็น 1 (ปิดใช้งาน) ถ้า ตั้งค่า คีย์รีจิสทรีโหมดการบังคับใช้ การตั้งค่าจะยอมรับ การไปยัง โหมด การบังคับใช้ต้องการให้ตัวควบคุมโดเมน Active Directory ทั้งหมดมีการอัปเดตวันที่ 8 ธันวาคม 2020 หรือการอัปเดตที่ใหม่กว่าติดตั้งอยู่
คู่มือการติดตั้ง
ก่อนที่จะติดตั้งการอัปเดตนี้
คุณต้องติดตั้งการอัปเดตที่ต้องใช้ต่อไปนี้ก่อนที่คุณจะใช้การอัปเดตนี้ ถ้าคุณใช้การอัปเดตWindows การอัปเดตที่ต้องใช้เหล่านี้จะมีให้โดยอัตโนมัติตามต้องการ
-
คุณต้องมีการอัปเดต SHA-2 (KB4474419) ที่วันที่ 23 กันยายน 2019 หรือการอัปเดต SHA-2 ที่ใหม่กว่าติดตั้งอยู่ แล้วรีสตาร์ตอุปกรณ์ของคุณก่อนที่คุณจะใช้การอัปเดตนี้ For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.
-
For Windows Server 2008 R2 SP1, you must have installed the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. หลังจากติดตั้งการอัปเดต KB4490628แล้ว เราขอแนะนนะให้คุณติดตั้งการอัปเดต SSU ล่าสุด For more information about the latest SSU update, see ADV990001 | อัปเดตสแตกการบริการล่าสุด
-
For Windows Server 2008 SP2, you must have installed the servicing stack update (SSU) (KB4493730) that is dated 9 เมษายน 2019. หลังจากติดตั้งการอัปเดต KB4493730แล้ว เราขอแนะนนะให้คุณติดตั้งการอัปเดต SSU ล่าสุด For more information about the latest SSU updates, see ADV990001 | อัปเดตสแตกการบริการล่าสุด
-
ลูกค้าจะต้องซื้อExtended Security Update (ESU)ในเวอร์ชันภายในองค์กรของ Windows Server 2008 SP2 หรือ Windows Server 2008 R2 SP1 หลังจากการสนับสนุนเพิ่มเติมสิ้นสุดลงในวันที่ 14 มกราคม 2020 ลูกค้าที่ซื้อ ESU ต้องปฏิบัติตามขั้นตอนในKB4522133เพื่อรับการอัปเดตความปลอดภัยต่อไป For more information on ESU and which edition are supported, see KB4497181.
สําคัญคุณต้องรีสตาร์ตอุปกรณ์ของคุณหลังจากที่คุณติดตั้งการอัปเดตที่ต้องมีเหล่านี้
ติดตั้งการอัปเดต
เมื่อต้องการแก้ไขช่องโหว่ด้านความปลอดภัย ให้ติดตั้งWindowsและเปิดใช้งานโหมดการบังคับใช้โดยปฏิบัติตามขั้นตอนเหล่านี้
คำเตือน ปัญหาการรับรองความถูกต้องไม่ต่อเนื่องอาจเกิดขึ้นถ้าWindowsเหล่านี้และมีการใช้ค่ารีจิสทรีไม่สอดคล้องกันในสถานการณ์หนึ่งหรือทั้งสองสถานการณ์ต่อไปนี้:
ที่สำคัญ การอัปเดตWindowsและรีจิสทรีต้องถูกใช้งานอย่างสอดคล้องกันบนตัวควบคุมโดเมน All Active Directory ในสภาพแวดล้อมของคุณ |
ขั้นตอนที่ 1: ติดตั้งWindowsอัปเดต
ติดตั้งการอัปเดตวันที่ 8 ธันวาคม 2020 Windows หรืออัปเดต Windows ใหม่กว่าไปยังอุปกรณ์ทั้งหมดที่โฮสต์บทบาทตัวควบคุมโดเมน Active Directory ในฟอเรสต์ รวมถึงตัวควบคุมโดเมนแบบอ่านอย่างเดียว
Windows Server |
KB # |
ชนิดของการอัปเดต |
Windows Server เวอร์ชัน 20H2 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server เวอร์ชัน 2004 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server เวอร์ชัน 1909 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server เวอร์ชัน 1903 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server 2019 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server 2019 |
การอัปเดตความปลอดภัย |
|
Windows Server 2016 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server 2016 |
การอัปเดตความปลอดภัย |
|
Windows Server 2012 R2 (การติดตั้ง Server Core) |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2012 R2 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2012 (การติดตั้ง Server Core) |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2012 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2008 R2 Service Pack 1 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2008 Service Pack 2 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
ขั้นตอนที่ 2: เปิดใช้งานโหมดการบังคับใช้
หลังจากอุปกรณ์ทั้งหมดที่โฮสต์บทบาทตัวควบคุมโดเมน Active Directory ได้รับการอัปเดต แล้ว โปรดรออย่างน้อยหนึ่งวันเต็มวันเพื่อให้บัตรผ่านบริการ Kerberos ของ User to Self (S4U2self) ที่ยังค้างอยู่ทั้งหมดหมดอายุ จากนั้น เปิดใช้งานการป้องกันทั้งหมดโดยการปรับใช้ โหมดการ บังคับใช้ เมื่อต้องการเปิดการใช้งานรีจิสทรีคีย์โหมดการบังคับใช้
คำเตือน ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้องโดยใช้ Registry Editor หรือใช้วิธีการอื่น ปัญหาเหล่านี้อาจต้องการให้คุณติดตั้งระบบปฏิบัติการใหม่ Microsoft ไม่สามารถรับประกันได้ว่าปัญหาเหล่านี้จะสามารถแก้ไขได้ ปรับเปลี่ยนรีจิสทรีด้วยความเสี่ยงของคุณเอง
หมายเหตุ ค่ารีจิสทรีนี้ไม่ได้สร้างขึ้นโดยการติดตั้งการอัปเดตนี้ คุณต้องเพิ่มค่ารีจิสทรีนี้ด้วยตนเอง
ซับคีย์รีจิสทรี |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
ค่า |
NonForwardableDelegation |
ชนิดข้อมูล |
REG_DWORD |
Data |
1:ปิดใช้งานโหมดการบังคับใช้ 0:เปิดใช้งานโหมดการบังคับใช้ นี่คือสถานะที่ได้รับการป้องกัน |
ค่าเริ่มต้น |
1 |
ต้องการการรีสตาร์ตหรือไม่ |
ไม่ใช่ |
หมายเหตุเกี่ยวกับค่ารีจิสทรี
"NonForwardableDelegation":
-
ถ้าค่ารีจิสทรีถูกตั้งค่าไว้ การตั้งค่าจะมาก่อนการตั้งค่าโหมด การบังคับใช้ ที่รวมอยู่ในการอัปเดตของWindows 9 มีนาคม 2021
-
ถ้าค่ารีจิสทรีถูกตั้งค่าเป็น 1 (ปิดใช้งาน) การส่งต่อจะได้รับอนุญาตบนตั๋วบริการ Kerberos ที่ไม่ได้ถูกระบุว่าส่งต่อได้
-
ถ้าค่ารีจิสทรีถูกตั้งค่าเป็น 0 (เปิดใช้งาน) การส่งต่อจะไม่ได้รับอนุญาตให้ใช้บนตั๋วบริการ Kerberos ที่ไม่ได้ถูกระบุว่าสามารถส่งต่อได้
-
-
ถ้าโดเมนของคุณมีตัวควบคุมโดเมน Windows Server 2008 R2 หรือ Active Directory เวอร์ชันก่อนหน้า คุณไม่บังคับต้องตั้งค่าโหมดการบังคับใช้เนื่องจากตัวควบคุมโดเมนเหล่านี้ไม่สนับสนุน RBCD
-
ความล้มเหลวในการอัปเดตตัวควบคุมโดเมน Active Directory ทั้งหมดอย่างต่อเนื่อง เมื่อเปิดใช้งานโหมด การบังคับใช้จะส่งผลให้การมอบหมายบริการล้มเหลวเป็นระยะๆ
-
ก่อนที่จะตั้งค่า โหมดการ บังคับใช้:
-
ตัวควบคุมโดเมน Active Directory ทั้งหมดต้องอัปเดตด้วยการอัปเดตในวันที่ 8 ธันวาคม 2020 Windows หรือการอัปเดตWindowsใหม่กว่า และ
-
ตั๋วบริการ S4USelf Kerberos ที่ยังค้างอยู่ทั้งหมดต้องหมดอายุโดยรอหนึ่งวันหลังจากเสร็จสิ้นการปรับใช้Windowsอัปเดตของ Active Directory ทั้งหมด
-
ข้อพิจารณาเพิ่มเติม
เมื่อเปิดใช้งานการป้องกันนี้ จะรวมตรรกะของResource-Basedการมอบสิทธิ์แบบมีข้อห้าม (RBCD) ด้วยการมอบสิทธิ์ที่มีข้อห้ามดั้งเดิม ซึ่งสามารถทําให้เกิดปัญหาในสถานการณ์สองสถานการณ์ต่อไปนี้:
-
บริการเดียวพร้อมกันจะใช้การมอบสิทธิ์ Kerberos Constrained (KCD) ดั้งเดิมโดยไม่มีการเปลี่ยนโพรโทคอลเป็นเป้าหมายหนึ่งในขณะที่ใช้ RBCD กับการเปลี่ยนโพรโทคอลเป็นอีกโพรโทคอลหนึ่ง หลังจากการเปลี่ยนแปลงนี้ การปฏิเสธการเปลี่ยนโพรโทคอลจะใช้กับสไตล์การมอบสิทธิ์ทั้งสองสไตล์
-
RBCD ถูกใช้ในโดเมนที่ใช้ตัวควบคุมโดเมนที่ไม่ได้รับการอัปเดตด้วย CVE-2020-16996 หรือเรียกใช้ Windows Server เวอร์ชันที่เก่ากว่า (เวอร์ชันที่เก่ากว่า Window Server 2012) ที่ไม่ได้มีการอัปเดตที่พร้อมใช้งานกับ CVE-2020-16996 The Key Distribution Centers (KDCs) that are not updated will not flag S4USelf Kerberos service tickets as okay for delegation and protocol transition will be denied.