สิ่งสำคัญ: มีการเปลี่ยนแปลงวันที่เผยแพร่ที่ระบุไว้ก่อนหน้าในบทความนี้ โปรดทราบว่าวันที่เผยแพร่ใหม่ในส่วน "Take Action" และ "การจับเวลาของการอัปเดต Windows เหล่านี้"
สรุป
ช่องโหว่การเลี่ยงผ่านของฟีเจอร์ความปลอดภัยมีอยู่ในลักษณะที่ ศูนย์ การแจกจ่ายคีย์ (KDC) ระบุว่าตั๋วบริการ Kerberos สามารถใช้ในการมอบสิทธิ์ผ่านทางการมอบสิทธิ์ Kerberos Constrained (KCD) หรือไม่ เมื่อต้องการใช้ประโยชน์จากช่องโหว่ บริการที่ถูกละเมิดที่ถูกกําหนดค่าให้ใช้ KCD อาจแก้ไขข้อบกพร่องของตั๋วบริการ Kerberos ที่ไม่ถูกต้องของการมอบสิทธิ์เพื่อบังคับให้ KDC ยอมรับบริการนั้น Windows เหล่านี้จะแก้ไขช่องโหว่นี้โดยการเปลี่ยนวิธีที่ KDC ตรวจสอบความถูกต้องของตั๋วบริการ Kerberos ที่ใช้กับ KCD
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ให้ดูที่CVE-2020-17049
จัดการงาน เมื่อต้องการป้องกันสภาพแวดล้อมของคุณ และป้องกันการไม่อยู่ คุณต้องปฏิบัติตามขั้นตอนเหล่านี้ทั้งหมด:
|
การตั้งเวลาของการอัปเดต Windows เหล่านี้
การอัปเดต Windows เหล่านี้จะเผยแพร่ในสามระยะ:
-
ขั้นตอนการปรับใช้เริ่มต้นการอัปเดต Windows ที่เผยแพร่ในวันที่ 8 ธันวาคม 2020 หรือหลังวันที่ 8 ธันวาคม 2020
-
ขั้นการปรับใช้ที่สองที่เอาการตั้งค่า PerformTicketSignature0 ออก และต้องการการตั้งค่า 1 หรือ 2ในวันที่หรือหลังวันที่ 13 เมษายน 2021
-
ระยะการบังคับใช้ของการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 กรกฎาคม 2021 หรือหลังจากนั้น
8 ธันวาคม 2020: ระยะการปรับใช้เริ่มต้น
ขั้นการปรับใช้เริ่มต้นจะเริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 8 ธันวาคม 2020 และยังคงใช้การอัปเดต Windows ต่อไปในช่วงการบังคับใช้ การอัปเดต Windows เหล่านี้และใหม่กว่าจะเปลี่ยนแปลง Kerberos การอัปเดตวันที่ 8 ธันวาคม 2020 นี้รวมถึงการแก้ไขปัญหาทั้งหมดที่ทราบซึ่งเริ่มใช้ในรุ่นวันที่ 10 พฤศจิกายน 2020 ของ CVE-2020-17049 นอกจากนี้ การอัปเดตนี้ยังเพิ่มการสนับสนุน Windows Server 2008 SP2 และ Windows Server 2008 R2 อีกด้วย
รุ่นนี้:
-
ที่อยู่ CVE-2020-17049 (ในโหมดการปรับใช้ตามค่าเริ่มต้น)
-
เพิ่มการสนับสนุนค่า รีจิสทรี PerformTicketSignature เพื่อเปิดใช้งานการป้องกันบนเซิร์ฟเวอร์ตัวควบคุมโดเมน Active Directory ตามค่าเริ่มต้น ค่านี้จะไม่มีอยู่
การลดความเสี่ยงประกอบด้วยการติดตั้งการอัปเดต Windows บนอุปกรณ์ทั้งหมดที่โฮสต์บทบาทตัวควบคุมโดเมน Active Directory และตัวควบคุมโดเมนแบบอ่านอย่างเดียว () แล้วเปิดใช้งานโหมดการบังคับใช้
13 เมษายน 2021:ระยะการปรับใช้ที่สอง
ขั้นตอนการปรับใช้งานที่สองจะเริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 13 เมษายน 2021 ขั้นตอนนี้จะเอาการตั้งค่า PerformTicketSignature0ออก การตั้งค่าPerformTicketSignatureเป็น 0หลังจากติดตั้งการอัปเดตนี้จะมีผลเหมือนกับการตั้งค่าPerformTicketSignatureเป็น 1 DC จะอยู่ในโหมดการปรับใช้
หมายเหตุ
-
ขั้นตอนนี้ไม่จําเป็นถ้า PerformTicketSignature ไม่เคยถูกตั้งค่า เป็น 0 ในสภาพแวดล้อมของคุณ ขั้นตอนนี้จะช่วยให้แน่ใจว่าลูกค้าที่ตั้งค่า PerformTicketSignature เป็น 0 จะถูกย้ายไปยังการตั้งค่า 1 ก่อนระยะ การ บังคับใช้
-
ด้วยการปรับใช้การอัปเดตของวันที่ 13 เมษายน 2021 การตั้งค่าPerformTicketSignatureเป็น 1 จะเปิดใช้งานตั๋วบริการเพื่อยกเลิก นี่คือการเปลี่ยนแปลงพฤติกรรมตั้งแต่ต้นเดือนเมษายน 2021 Windows Updates เมื่อตั้งค่าPerformTicketSignatureเป็น 1ซึ่งเป็นสาเหตุให้ไม่ต้องเข้าใช้บริการ
-
การอัปเดตนี้ถือว่าตัวควบคุมโดเมนทั้งหมดได้รับการอัปเดตการอัปเดตในวันที่ 8 ธันวาคม 2020 หรือการอัปเดตในภายหลัง
-
หลังจากติดตั้งการอัปเดตนี้ และการตั้งค่า PerformTicketSignature ด้วยตนเองหรือทางโปรแกรมเป็น 1 หรือสูงกว่า ตัวควบคุมโดเมน Windows Server ที่ไม่ได้รับการสนับสนุนจะไม่สามารถใช้งานได้กับตัวควบคุมโดเมนที่ได้รับการสนับสนุนอีกต่อไป ซึ่งรวมถึง Windows Server 2008 และ Windows Server 2008 R2 โดยไม่มีการอัปเดตความปลอดภัยเพิ่มเติม (ESU) และ Windows Server 2003
13 กรกฎาคม 2021: ช่วงการบังคับใช้
การเปลี่ยนรุ่นวันที่ 13 กรกฎาคม 2021 เข้าสู่ช่วงการบังคับใช้ ขั้นการบังคับใช้บังคับใช้การเปลี่ยนแปลงที่อยู่ CVE-2020-17049 ในขณะนี้ตัวควบคุมโดเมน Active Directory สามารถใช้งานโหมดการบังคับใช้ได้แล้ว การไปยังโหมดการบังคับใช้ต้องการให้ตัวควบคุมโดเมน Active Directory ทั้งหมดติดตั้งการอัปเดต Windows เวอร์ชัน 8 ธันวาคม 2020 หรือ Windows เวอร์ชันที่ใหม่กว่า ขณะนี้การตั้งค่ารีจิสทรีคีย์ PerformTicketSignature จะถูกละเว้นและไม่สามารถแทนที่โหมดการบังคับใช้ได้
คู่มือการติดตั้ง
ก่อนที่จะติดตั้งการอัปเดตนี้
คุณต้องติดตั้งการอัปเดตที่ต้องมีต่อไปนี้ก่อนที่คุณจะใช้การอัปเดตนี้ หากคุณใช้ Windows Update การอัปเดตที่ต้องมีเหล่านี้จะเสนอให้โดยอัตโนมัติตามต้องการ
-
คุณต้องมีการอัปเดต SHA-2 (KB4474419) ที่เก่ากว่าวันที่ 23 กันยายน 2019 หรือการอัปเดต SHA-2 ที่ใหม่กว่าติดตั้งอยู่ แล้วรีสตาร์ตอุปกรณ์ของคุณก่อนที่คุณจะใช้การอัปเดตนี้ For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.
-
For Windows Server 2008 R2 SP1, you must have installed the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. หลังจากติดตั้ง การอัปเดต KB4490628 แล้ว เราขอแนะนนะให้คุณติดตั้งการอัปเดต SSU ล่าสุด ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดต SSU ล่าสุดที่ ADV990001 | อัปเดตสแตกการบริการล่าสุด
-
For Windows Server 2008 SP2, you must have installed the servicing stack update (SSU) (KB4493730) that is dated 9 เมษายน 2019. หลังจากติดตั้ง การอัปเดต KB4493730 แล้ว เราขอแนะนนะให้คุณติดตั้งการอัปเดต SSU ล่าสุด ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดต SSU ล่าสุดที่ ADV990001 | อัปเดตสแตกการบริการล่าสุด
-
ลูกค้าจะต้องซื้อ Extended Security Update (ESU) ของ Windows Server 2008 SP2 เวอร์ชันภายในองค์กรหรือ Windows Server 2008 R2 SP1 หลังจากการสนับสนุนที่ขยายเวลาสิ้นสุดในวันที่ 14 มกราคม 2020 ลูกค้าที่ซื้อ ESU ต้องปฏิบัติตามขั้นตอนใน KB4522133 เพื่อรับการอัปเดตความปลอดภัยต่อไป For more information on ESU and which editions are supported, see KB4497181.
สําคัญ คุณต้องรีสตาร์ตอุปกรณ์ของคุณหลังจากที่คุณติดตั้งการอัปเดตที่ต้องมีเหล่านี้
ติดตั้งการอัปเดตทั้งหมด
เมื่อต้องการแก้ไขช่องโหว่ด้านความปลอดภัย ให้ติดตั้งการอัปเดต Windows ทั้งหมดและเปิดใช้งานโหมดการบังคับใช้โดยปฏิบัติตามขั้นตอนเหล่านี้
-
ปรับใช้อย่างน้อยหนึ่งการอัปเดตตั้งแต่ 8 ธันวาคม 2020 ถึง 9 มีนาคม 2021 กับตัวควบคุมโดเมน Active Directory ทั้งหมดในฟอเรสต์
-
ปรับใช้การอัปเดตวันที่ 12 เมษายน 2021 อย่างน้อยหนึ่งสัปดาห์หลังจากขั้นตอนที่ 1
-
หลังจากอัปเดตตัวควบคุมโดเมน Active Directory ทั้งหมดแล้ว ให้รออย่างน้อย 1 สัปดาห์เพื่ออนุญาตให้บัตรเข้าบริการ Kerberos ของ User-Self (S4U2self) ที่ค้างอยู่ทั้งหมดสามารถเปิดใช้งานการป้องกันทั้งหมดได้ โดยการปรับใช้โหมดการบังคับใช้ของตัวควบคุมโดเมน Active Directory
หมายเหตุ-
ถ้าคุณได้ปรับเปลี่ยนเวลาหมดอายุของบัตรเข้าบริการ Kerberos จากการตั้งค่าเริ่มต้น (ค่าเริ่มต้นคือ 7 วัน) คุณจะต้องรอเป็นอย่างน้อยตามจํานวนวันที่กําหนดค่าไว้ในสภาพแวดล้อมของคุณ
-
ขั้นตอนเหล่านี้จะสมมติว่า PerformTicketSignature ไม่เคยถูกตั้งค่าเป็น 0 ในสภาพแวดล้อมของคุณ ถ้า PerformTicketSignature ถูกตั้งค่าเป็น 0คุณต้องย้ายไปยังการตั้งค่า 1 ก่อนที่จะย้ายไปยังการตั้งค่า 2 (โหมดการบังคับใช้) และรออย่างน้อยสัปดาห์เพื่ออนุญาตให้บัตรบริการ Kerberos ของ User to Self (S4U2self) โดดเด่นทั้งหมดหมดอายุ คุณไม่ควรย้ายจากการตั้งค่า0 ไปยังการตั้งค่า2 โดยตรง (โหมดการบังคับใช้)
-
ขั้นตอนที่ 1: ติดตั้งการอัปเดต Windows
ติดตั้งการอัปเดต Windows วันที่ 8 ธันวาคม 2020 ที่เหมาะสมหรืออัปเดต Windows ใหม่กว่าไปยังอุปกรณ์ทั้งหมดที่โฮสต์บทบาทตัวควบคุมโดเมน Active Directory ในฟอเรสต์ รวมถึงตัวควบคุมโดเมนแบบอ่านอย่างเดียว
ผลิตภัณฑ์ Windows Server |
KB # |
ชนิดของการอัปเดต |
Windows Server เวอร์ชัน 20H2 (การติดตั้งหลักเซิร์ฟเวอร์) |
การอัปเดตความปลอดภัย |
|
Windows Server เวอร์ชัน 2004 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server เวอร์ชัน 1909 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server เวอร์ชัน 1903 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server 2019 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server 2019 |
การอัปเดตความปลอดภัย |
|
Windows Server 2016 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server 2016 |
การอัปเดตความปลอดภัย |
|
Windows Server 2012 R2 (การติดตั้ง Server Core) |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัยเท่านั้น |
||
Windows Server 2012 R2 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัยเท่านั้น |
||
Windows Server 2012 (การติดตั้ง Server Core) |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัยเท่านั้น |
||
Windows Server 2012 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัยเท่านั้น |
||
Windows Server 2008 R2 Service Pack 1 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัยเท่านั้น |
||
Windows Server 2008 Service Pack 2 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัยเท่านั้น |
ขั้นตอนที่ 2: เปิดใช้งานโหมดการบังคับใช้
หลังจากอุปกรณ์ทั้งหมดที่โฮสต์บทบาทตัวควบคุมโดเมน Active Directory ได้รับการอัปเดตแล้ว ให้รออย่างน้อยหนึ่งสัปดาห์เพื่ออนุญาตให้บัตรเข้าบริการ S4U2self Kerberos ที่ยังค้างอยู่ทั้งหมดหมดอายุ จากนั้น เปิดใช้งานการป้องกันทั้งหมดโดยการปรับใช้โหมดการบังคับใช้ To do this, enable the Enforcement mode registry key.
คำเตือน ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้องโดยใช้ Registry Editor หรือใช้วิธีการอื่น ปัญหาเหล่านี้อาจต้องการให้คุณติดตั้งระบบปฏิบัติการใหม่ Microsoft ไม่สามารถรับประกันได้ว่าปัญหาเหล่านี้จะสามารถแก้ไขได้ ปรับเปลี่ยนรีจิสทรีด้วยความเสี่ยงของคุณเอง
หมายเหตุ การอัปเดตนี้เป็นการแนะนรการสนับสนุนค่ารีจิสทรีต่อไปนี้เพื่อเปิดใช้งานโหมดการบังคับใช้ ค่ารีจิสทรีนี้ไม่ได้สร้างขึ้นโดยการติดตั้งการอัปเดตนี้ คุณต้องเพิ่มค่ารีจิสทรีนี้ด้วยตนเอง
ซับคีย์รีจิสทรี |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
ค่า |
PerformTicketSignature |
ชนิดข้อมูล |
REG_DWORD |
Data |
1:เปิดใช้งานโหมดการปรับใช้ การแก้ไขถูกเปิดใช้งานบนตัวควบคุมโดเมน แต่ตัวควบคุมโดเมน Active Directory ไม่ต้องการให้ตั๋วบริการ Kerberos สอดคล้องกับการแก้ไข โหมดนี้เพิ่มการสนับสนุนลายเซ็นตั๋วบนตัวควบคุมโดเมนที่อัปเดต CVE-2020-17049 แต่ตัวควบคุมโดเมนไม่ต้องเซ็นตั๋ว ซึ่งช่วยให้การผสมของขั้นการปรับใช้เริ่มต้น (DC อัปเดตเป็นการอัปเดตการปรับใช้เริ่มต้นเดือนธันวาคม) และอัปเดตตัวควบคุมโดเมนเพื่ออยู่ร่วมกัน เมื่ออัปเดตตัวควบคุมโดเมนทั้งหมดและที่การตั้งค่า เป็น 1แล้ว ตั๋วใหม่ทั้งหมดจะถูกเซ็นชื่อ ในโหมดนี้ บัตรผ่านใหม่จะถูกระบุเป็นไม่ได้ 2:เปิดใช้งานโหมดการบังคับใช้ จะเปิดใช้งานการแก้ไขในโหมดที่ต้องใช้ ซึ่งโดเมนทั้งหมดต้องได้รับการอัปเดตและตัวควบคุมโดเมน Active Directory ทั้งหมดต้องการตั๋วบริการ Kerberos ที่มีลายเซ็น ด้วยการตั้งค่านี้ บัตรผ่านทั้งหมดต้องลงชื่อเข้าใช้เพื่อถือว่าถูกต้อง ในโหมดนี้ ตั๋วจะถูกระบุเป็นไม่สามารถระบุได้อีกครั้ง 0: ไม่แนะนนะ ปิดใช้งานลายเซ็นบัตรผ่านบริการ Kerberos และโดเมนของคุณไม่ได้รับการป้องกัน สําคัญ: การตั้งค่า0เข้ากันไม่ได้กับการตั้งค่าการบังคับใช้2 ความล้มเหลวในการรับรองความถูกต้องที่เกิดขึ้นเป็นบางครั้งถ้าใช้โหมดการบังคับใช้ในภายหลังขณะที่โดเมนถูกตั้งค่าเป็น0 เราขอแนะให้ลูกค้าย้ายไปยังการตั้งค่า 1 ก่อนระยะการบังคับใช้ (อย่างน้อยสัปดาห์ก่อนที่จะใช้การบังคับใช้) |
ค่าเริ่มต้น |
1 (เมื่อไม่ได้ตั้งค่ารีจิสทรีคีย์) |
ต้องรีสตาร์ตหรือไม่ |
ไม่ใช่ |