16996-2020-16996 için RBCD/Korumalı Kullanıcı değişikliklerinin dağıtımını yönetme

ÖNEMLİ Bu makalede daha önce belirtildiği gibi Zorlama modunun tarihi 9 Mart 2021 olarak değiştirilmiştir.

Özet

Korumalı Kullanıcılar ve Kaynak TabanlıKısıtlanmış Temsilci (RBCD) kullanıyorsanız, Active Directory etki alanı denetleyicilerinde bir güvenlik açığı olabilir. Güvenlik açığı hakkında daha fazla bilgi edinmek için BKZ. 2020-16996.

EylemDeLe

Ortamınızı korumak ve kesintileri önlemek için, şunları yapın:

  1. 8 Aralık 2020 Windows güncelleştirmesini veya daha sonraki bir Windows güncelleştirmesini yükleyerek Active Directory etki alanı denetleyicisi rolünü barındıran tüm cihazları güncelleştirin. Windows güncelleştirmesini yüklemenin güvenlik açığını tam olarak azaltmak olmadığının farkında olun. 2. Adımı gerçekleştirmeniz gerekir.

  2. Tüm Active Directory etki alanı denetleyicilerinde Zorlama modunu etkinleştirin. 9 Mart 2021 güncelleştirmelerinden başlayarak, Zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilebilir.

Güncelleştirmelerin zamanlaması

Bu Windows güncelleştirmeleri iki aşamada yayınlanacak:

  • 8 Aralık 2020'de veya sonrasında yayımlanan Windows güncelleştirmelerinin ilk dağıtım aşaması.

  • 9 Mart 2021'de veya sonrasında yayımlanan Windows güncelleştirmeleri için zorlama aşaması.

8 Aralık 2020: İlk Dağıtım Aşaması

İlk dağıtım aşaması, 8 Aralık 2020'de yayımlanan Windows güncelleştirmesi ile başlar ve Zorlama aşaması için sonraki bir Windows güncelleştirmesi ile devam eder. Bu ve sonraki Windows güncelleştirmeleri Kerberos'da değişiklik yapacaktır.

Bu sürüm:

  • TEMSLİ-2020-16996 adreslerini (varsayılan olarak devre dışıdır).

  • Active Directory etki alanı denetleyicisi sunucularında korumayı etkinleştirmek için NonForwardableDelegation kayıt defteri değeri için destek ekler. Varsayılan olarak, değer yoktur.

Azaltma, Windows güncelleştirmelerinin Active Directory etki alanı denetleyicisi rolüne ve salt okunur etki alanı denetleyicilerine (VERİtC) sahip olan tüm cihazlara yüklenmesi ve ardından Zorlama modunun etkinleştirilmesi ile oluşur.

9 Mart 2021: Zorlama Aşaması

9 Mart 2021 sürümü zorlama aşamasına geçişler. Zorlama aşaması, TİPİ-2020-16996'da yapılan değişiklikleri zorlar. Zorlama modu kayıt defteri anahtarı 1(Devre Dışı) olarak ayarlanmadıkça Active Directory etki alanı denetleyicileri artık Zorlama modunda olacak. Zorlama modu kayıt defteri anahtarı ayarlanmışsa, bu ayara saygı duyarız. Zorlama moduna geçmektedir, tüm Active Directory etki alanı denetleyicilerinde 8 Aralık 2020 güncelleştirmesi veya daha sonraki bir güncelleştirme yüklü olmalıdır.

Yükleme kılavuzu

Bu güncelleştirmeyi yüklemeden önce

Bu güncelleştirmeyi uygulamadan önce aşağıdaki gerekli güncelleştirmelerin yüklenmiş olması gerekir. Windows Update kullanıyorsanız, bu gerekli güncelleştirmeler gerektiğinde otomatik olarak sunulacaktır.

  • 23 Eylül 2019 veya sonraki bir SHA-2 güncelleştirmesini(KB4474419)yüklemiş ve bu güncelleştirmeyi uygulamadan önce cihazınızı yeniden başlatmış olmalıdır. SHA-2 güncelleştirmeleri hakkında daha fazla bilgi için bkz. Windows ve WSUS için 2019 SHA-2 Kod İmzalama Desteği gereksinimi.

  • Windows Server 2008 R2 SP1 için, 12 Mart 2019 tarihli hizmet yığını güncelleştirmesini (SSU)(KB4490628)yüklemişsinizdir. KB4490628 güncelleştirmesi yüklendikten sonra en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmesi hakkında daha fazla bilgi için bkz. ADV990001 | En Son Hizmet Yığını Güncelleştirmeleri.

  • Windows Server 2008 SP2 için, 9 Nisan 2019 tarihli hizmet yığını güncelleştirmesini (SSU)(KB4493730)yüklemişsinizdir. KB4493730 güncelleştirmesi yüklendikten sonra en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmeleri hakkında daha fazla bilgi için bkz. ADV990001 | En Son Hizmet Yığını Güncelleştirmeleri.

  • Genişletilmiş destek 14 Ocak 2020'de sona erdikten sonra, müşterilerin Windows Server 2008 SP2 veya Windows Server 2008 R2 SP1'in şirket içi sürümleri için Genişletilmiş Güvenlik Güncelleştirmesi'ne (ESU) sahip olması gerekir. ESU'yi satın alan müşterilerin güvenlik güncelleştirmelerini almaya devam etmek için KB4522133'te yer alan yordamları izlemeleri gerekir. ESU ve desteklenen sürümler hakkında daha fazla bilgi için bkz. KB4497181.

ÖnemliBu gerekli güncelleştirmeleri yükledikten sonra cihazınızı yeniden başlatmanız gerekir.

Güncelleştirmeyi yükleme

Güvenlik açıklarını çözmek için, aşağıdaki adımları izleyin ve Windows güncelleştirmelerini yükleyin ve Zorlama modunu etkinleştirin.

Uyarı Bu Windows güncelleştirmeleri ve kayıt defteri değeri aşağıdaki senaryolardan bir veya her ikisinde tutarsız uygulanırsa, aralıklı kimlik doğrulama sorunları oluşabilir:

  • 8 Aralık 2020 Windows güncelleştirmesi Active Directory etki alanı denetleyicilerine tutarsız olarak yüklenir ve NonForwardableDelegation değeri bu etki alanı denetleyicilerinde tutarsız olarak 0 olarak ayarlanır.

  • 9 Mart 2021 Windows güncelleştirmesi, önce 8 Aralık 2020 Windows güncelleştirmesini Arayan, Ara veya Hedef etki alanlarında bulunan tüm Windows Server 2008 R2 veya önceki Active Directory etki alanı denetleyicilerine yükleyerek etkin olan Active Directory etki alanı denetleyicilerine tutarsız olarak yüklenir.

Önemli Ortamınız içinde hem Windows güncelleştirmeleri hem de kayıt defteri değeri tutarlı bir şekilde TÜM Active Directory etki alanı denetleyicilerine uygulanmalıdır.


1. Adım: Windows güncelleştirmesini yükleme

8 Aralık 2020 Windows güncelleştirmesini veya sonraki bir Windows güncelleştirmesini, salt okunur etki alanı denetleyicileri de dahil olmak üzere, active Directory etki alanı denetleyicisi rolünün bulunduğu tüm cihazlara yükleyin.

Windows Server ürünü

KB #

Güncelleştirme türü

Windows Server, sürüm 20H2 (Sunucu Çekirdek Yüklemesi)

4592438https://support.microsoft.com/help/4592438

Güvenlik Güncelleştirmesi

Windows Server, sürüm 2004 (Sunucu Çekirdek yüklemesi)

4592438https://support.microsoft.com/help/4592438

Güvenlik Güncelleştirmesi

Windows Server, sürüm 1909 (Sunucu Çekirdek yüklemesi)

4592449https://support.microsoft.com/help/4592449

Güvenlik Güncelleştirmesi

Windows Server, sürüm 1903 (Sunucu Çekirdek yüklemesi)

4592449https://support.microsoft.com/help/4592449

Güvenlik Güncelleştirmesi

Windows Server 2019 (Sunucu Çekirdek yüklemesi)

4592440https://support.microsoft.com/help/4592440

Güvenlik Güncelleştirmesi

Windows Server 2019

4592440https://support.microsoft.com/help/4592440

Güvenlik Güncelleştirmesi

Windows Server 2016 (Sunucu Çekirdek yüklemesi)

4593226https://support.microsoft.com/help/4593226

Güvenlik Güncelleştirmesi

Windows Server 2016

4593226https://support.microsoft.com/help/4593226

Güvenlik Güncelleştirmesi

Windows Server 2012 R2 (Sunucu Çekirdek yüklemesi)

4592484https://support.microsoft.com/help/4592484

Aylık Toplama

4592495

Yalnızca Güvenlik

Windows Server 2012 R2

4592484https://support.microsoft.com/help/4592484

Aylık Toplama

4592495

Yalnızca Güvenlik

Windows Server 2012 (Sunucu Çekirdek yüklemesi)

4592468https://support.microsoft.com/help/4592468

Aylık Toplama

4592497

Yalnızca Güvenlik

Windows Server 2012

4592468https://support.microsoft.com/help/4592468

Aylık Toplama

4592497

Yalnızca Güvenlik

Windows Server 2008 R2 Service Pack 1

4592471https://support.microsoft.com/help/4592471

Aylık Toplama

4592503https://support.microsoft.com/help/4592503

Yalnızca Güvenlik

Windows Server 2008 Service Pack 2

4592498https://support.microsoft.com/help/4592498

Aylık Toplama

4592504

Yalnızca Güvenlik

2. Adım: Zorlama modunu etkinleştirme

Active Directory etki alanı denetleyicisi rolünün barındır olduğu tüm cihazlar güncelleştirildikten sonra, bekleyen Tüm Kullanıcının Self (S4U2self) Kerberos hizmet anahtarlarının süresinin dolmasına izin vermek için en az bir gün bekleyin. Ardından, Zorlama modunu dağıtarak tam korumayı etkinleştirin. Bunu yapmak için Zorlama modu kayıt defteri anahtarını etkinleştirin.

Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterinin değiştirilmesi, tamamen sizin sorumluluğunuzdur.

Not Bu kayıt defteri değeri, bu güncelleştirme yükleyerek oluşturulmaz. Bu kayıt defteri değerini el ile eklemeniz gerekir.

Kayıt defteri alt anahtarı

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Değer

NonForwardableDelegation

Veri türü

REG_DWORD

Veri

1: Zorlama modunu devre dışı bırakarak.  

0: Zorlama modunu sağlar. Korumalı durum böyledir.

Varsayılan

1

Yeniden başlatma gerekiyor mu?

Hayır


"NonForwardableDelegation" kayıt defteri değeri hakkında notlar:

  • Kayıt defteri değeri ayarlanmışsa, 9 Mart 2021 Windows güncelleştirmelerine dahil edilen Zorlama modu ayarına göre öncelikli olacaktır.

    • Kayıt defteri değeri 1 (Devre dışı bırak) olarak ayarlanırsa, iletilebilir olarak işaretlenmiş Kerberos hizmet biletlerini iletmeye izin verilir.

    • Kayıt defteri değeri 0 (Etkinleştir) olarak ayarlanırsa, iletilebilir olarak işaretlenmiş Kerberos hizmet biletlerine iletmeye izin VERILMEZ ve Zorlama modu etkinleştirilir.

  • Etki alanınız Windows Server 2008 R2 veya önceki Active Directory etki alanı denetleyicileri içeriyorsa, bu etki alanı denetleyicileri RBCD'yi desteklemez, çünkü Zorlama modunu ayarlamak zorunda değildir.

  • Zorlama modunun etkinleştirilmesi durumunda tüm Active Directory etki alanı denetleyicilerinin tutarlı bir şekilde güncelleştirilene kadar güncelleştirilemi, aralıklı olarak hizmet temsilcisinin başarısız olmasıyla sonuçlanır.

  • Zorlama modunu ayarlamadan önce:

    • Tüm Active Directory etki alanı denetleyicilerinin 8 Aralık 2020 Windows güncelleştirmesi veya sonraki bir Windows güncelleştirmesi ile güncelleştirilmiş olması ve

    • Tüm bekleyen S4USelf Kerberos hizmet biletlerinin süresi, Tüm Active Directory etki alanı denetleyicilerine Windows güncelleştirme dağıtımını tamamladıktan bir gün sonra beklenerek dolmuş olmalıdır.

Dikkat edilmesi gereken diğer noktalar

Bu koruma etkinleştirildiğinde, özgün kısıtlanmış temsilciyle Resource-Based Kısıtlanmış Temsilci (RBCD) mantığını gösterir. Bu, aşağıdaki iki senaryoda soruna neden olabilir:

  • Tek bir hizmet aynı anda, protokol geçişi olan RBCD'yi diğer bir hedefe geçiş yapmadan tek bir hedefe protokol geçişi olmadan özgün Kerberos Kısıtlanmış Temsilci 'yi (KCD) kullanır. Bu değişiklik sonrasında, protokol geçiş engellemesi her iki temsilci stiline de uygulanır.

  • RBCD, PIE-2020-16996 ile güncelleştirilmiş olmayan veya WINDOWS Server'ın eski sürümlerini (WINDOWS Server 2012'den eski) çalıştıran ve VELI-2020-16996 için kullanılabilir bir güncelleştirmesi olmayan etki alanı denetleyicileri kullanan bir etki alanı içinde kullanılır. Güncelleştirilmiş değilken Anahtar Dağıtım Merkezleri (KDC) S4USelf Kerberos hizmet biletlerini, temsilci ve protokol geçişi için uygun olarak bayrakla bayrakla seçmez.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Geri bildiriminiz için teşekkür ederiz!

Geri bildiriminiz için teşekkürler! Office destek temsilcilerimizden biriyle görüşmeniz yararlı olabilir.

×