ÖNEMLİ Bu makalede daha önce belirtildiği gibi Zorlama modu tarihi 9 Mart 2021 tarihine değiştirildi. |
Özet
Korumalı Kullanıcılar ve Kaynak TabanlıKısıtlanmış Temsilci (RBCD) kullanıyorsanız Active Directory etki alanı denetleyicilerinde bir güvenlik açığı olabilir. Güvenlik açığı hakkında daha fazla bilgi edinmek için bkz. THE THE-2020-16996.
Harekete Geç Ortamınızı korumak ve kesintileri önlemek için, şunları yapın:
|
Güncelleştirmelerin zamanlaması
Bu Windows güncelleştirmeleri iki aşamada yayınlamayacaktır:
-
8 Aralık 2020 Windows sonra yayımlanan güncelleştirmeler için ilk dağıtım aşaması.
-
9 Mart 2021 Windows veya sonrasında yayımlanan güncelleştirmeler için zorlama aşaması.
8 Aralık 2020: İlk Dağıtım Aşaması
İlk dağıtım aşaması, Windows 8 Aralık 2020'de yayımlanan Güncelleştirme ile başlar ve Zorlama aşaması için Windows sonraki güncelleştirmelerle devam eder. Bu ve sonraki Windows güncelleştirmeleri Kerberos'da değişiklikler yapmaktır.
Bu sürüm:
-
DEFALIK-2020-16996 adreslerini kullanır (varsayılan olarak devre dışıdır).
-
Active Directory etki alanı denetleyicisi sunucularında korumayı etkinleştirmek için NonForwardableDelegation kayıt defteri değeri için destek ekler. Varsayılan olarak değer yoktur.
Azaltma, Windows güncelleştirmelerinin Active Directory etki alanı denetleyicisi rolünü ve salt okunur etki alanı denetleyicileri (HOST) olan tüm cihazlara yüklenmesi ve ardından Zorlama modunun etkinleştirilmesini içerir.
9 Mart 2021: Zorlama Aşaması
9 Mart 2021 sürümü, zorlama aşamasına geçişler. Zorlama aşaması, 16996-2020-16996 ile ilgili değişiklikleri zorlar. Zorlama modu kayıt defteri anahtarı 1 (Devre Dışı) olarak ayarlanmadıkça Active Directory etki alanı denetleyicileri artık Zorlama modunda olur. Zorlama modu kayıt defteri anahtarı ayarlanmışsa, ayara saygı gösterir. Zorlama moduna geç, tüm Active Directory etki alanı denetleyicilerinde 8 Aralık 2020 güncelleştirmesi veya daha sonraki bir güncelleştirmenin yüklü olması gerekir.
Yükleme kılavuzu
Bu güncelleştirmeyi yüklemeden önce
Bu güncelleştirmeyi uygulayamadan önce aşağıdaki gerekli güncelleştirmelerin yüklenmiş olması gerekir. Güncelleştirme Güncelleştirmesini Windows, bu gerekli güncelleştirmeler gerektiğinde otomatik olarak sunulacaktır.
-
23 Eylül 2019 tarihli SHA-2 güncelleştirmesi(KB4474419)veya sonraki bir SHA-2 güncelleştirmesini yüklemiş olmalı ve bu güncelleştirmeyi uygulamadan önce cihazınızı yeniden başlatabilirsiniz. SHA-2 güncelleştirmeleri hakkında daha fazla bilgi için bkz. Windows WSUS için 2019 SHA-2 Kod İmzalama Desteği gereksinimi.
-
Windows Server 2008 R2 SP1 için, 12 Mart 2019 tarihli hizmet yığını güncelleştirmesi (SSU) (KB4490628) yüklemişsiniz. KB4490628 güncelleştirmesini yükledikten sonra, en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmesi hakkında daha fazla bilgi için bkz. ADV990001 | En Son Hizmet Yığını Güncelleştirmeleri.
-
Windows Server 2008 SP2 için, 9 Nisan 2019 tarihli hizmet yığını güncelleştirmesini (SSU) (KB4493730) yüklemişsinizdir. KB4493730 güncelleştirmesini yükledikten sonra, en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmeleri hakkında daha fazla bilgi için bkz. ADV990001 güncelleştirmeleri | En Son Hizmet Yığını Güncelleştirmeleri.
-
Desteğin 14 Ocak 2020'de sona erdikten sonra, müşterilerin Windows Server 2008 SP2 veya Windows Server 2008 R2 SP1'in şirket içi sürümleri için Genişletilmiş Güvenlik Güncelleştirmesi'i (ESU) satın almaları gerekir. ESU'yi satın alan müşterilerin güvenlik güncelleştirmelerini almaya devam etmek için KB4522133'daki yordamları izlemeleri gerekir. ESU hakkında daha fazla bilgi ve desteklenen sürümler hakkında daha fazla bilgi için bkz. KB4497181.
ÖnemliBu gerekli güncelleştirmeleri yükledikten sonra cihazınızı yeniden başlatmanız gerekir.
Güncelleştirmeyi yükleme
Güvenlik açığını çözmek için aşağıdaki adımları Windows güncelleştirmeleri yükleyin ve Zorlama modunu etkinleştirin.
Uyarı Bu güncelleştirmeler ve kayıt defteri Windows aşağıdaki senaryolardan bir veya her ikisinde tutarsız uygulanırsa, aralıklı olarak kimlik doğrulama sorunları oluşabilir:
Önemli Hem Windows hem de kayıt defteri değeri, ortamınız içinde yer alan TÜM Active Directory etki alanı denetleyicilerinde tutarlı olarak uygulanmalıdır. |
1. Adım: Windows yükleme
8 Aralık 2020 Windows güncelleştirmesini veya sonraki bir Windows güncelleştirmesini, salt okunur etki alanı denetleyicileri de dahil olmak üzere, orman içinde Active Directory etki alanı denetleyicisi rolünü barındırılan tüm cihazlara yükleyin.
Windows Server ürünü |
KB # |
Güncelleştirme türü |
Windows Server, sürüm 20H2 (Sunucu Çekirdek Yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server, sürüm 2004 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server, sürüm 1909 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server, sürüm 1903 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server 2019 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server 2019 |
Güvenlik Güncelleştirmesi |
|
Windows Server 2016 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server 2016 |
Güvenlik Güncelleştirmesi |
|
Windows Server 2012 R2 (Sunucu Çekirdek yüklemesi) |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2012 R2 |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2012 (Sunucu Çekirdek yüklemesi) |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2012 |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2008 R2 Service Pack 1 |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2008 Service Pack 2 |
Aylık Toplama |
|
Yalnızca Güvenlik |
2. Adım: Zorlama modunu etkinleştirme
Active Directory etki alanı denetleyicisi rolünü barındırılan tüm cihazlar güncelleştirildikten sonra, bekleyen Tüm Kullanıcının Self (S4U2self) Kerberos hizmet anahtarlarının süresinin dolmasına izin vermek için en az bir gün bekleyin. Ardından, Zorlama modunu dağıtarak tam korumayı etkinleştirin. Bunu yapmak için, Zorlama modu kayıt defteri anahtarını etkinleştirin.
Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterinin değiştirilmesi, tamamen sizin sorumluluğunuzdur.
Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Bu kayıt defteri değeri, bu güncelleştirme yükleyerek oluşturulmaz. Bu kayıt defteri değerini el ile eklemeniz gerekir.
Kayıt defteri alt anahtarı |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Değer |
NonForwardableDelegation |
Veri türü |
REG_DWORD |
Veri |
1: Zorlama modunu devre dışı bırakma. 0: Zorlama modunu sağlar. Bu, korumalı bir durum. |
Default |
1 |
Yeniden Başlatma gerekiyor mu? |
Hayır |
"NonForwardableDelegation" kayıt defteri değeri hakkında notlar:
-
Kayıt defteri değeri ayarlanırsa, bu, 9 Mart 2021 ve 2021 güncelleştirmelerinde yer alan Zorlama modu Windows alır.
-
Kayıt defteri değeri 1 (Devre Dışı Bırak) olarak ayarlanırsa, iletilebilir olarak işaretlenen NOT Kerberos hizmet biletlerini iletmeye izin verilir.
-
Kayıt defteri değeri 0 (Etkinleştir) olarak ayarlanmışsa, iletilebilir olarak işaretlenen NOT Kerberos hizmet biletlarında iletmeye izin verilmez.
-
-
Etki alanınız Windows Server 2008 R2 veya önceki Active Directory etki alanı denetleyicileri içeriyorsa, Zorlama modunu ayarlamak zorunda değildir, çünkü bu etki alanı denetleyicileri RBCD'yi desteklemez.
-
Zorlama modunun etkinleştirilmesi durumunda tüm Active Directory etki alanı denetleyicileri tutarlı bir şekilde güncelleştirile hataların, hizmet temsilcisi seçme hatalarında ortaya çıkar.
-
Zorlama modunu ayarlamadan önce:
-
Tüm Active Directory etki alanı denetleyicilerinin 8 Aralık 2020 güncelleştirmesinde Windows sonraki bir güncelleştirmeyle güncelleştirilmiş olması gerekir Windows ve
-
Bekleyen tüm S4USelf Kerberos hizmet biletlerini, tüm Active Directory etki alanı denetleyicilerine güncelleştirme dağıtımını tamamladıktan Windows bir gün bekledikten sonra süresi dolmuş olmalıdır.
-
Dikkate alınacak diğer noktalar
Bu koruma etkinleştirildiyse, özgün kısıtlanmış temsilciyle Resource-Based Kısıtlanmış Temsilci (RBCD) mantığını gösterir. Bu durum aşağıdaki iki senaryoda soruna neden olabilir:
-
Aynı anda tek bir hizmet, protokol geçişiyle RBCD'yi diğer bir hedefe geçişi olan tek bir hedefe geçiş yapmadan özgün Kerberos Kısıtlanmış Temsilci'yi (KCD) kullanır. Bu değişiklik sonrasında, protokol engellemesi geçişi her iki temsilci stiline de uygulanır.
-
RBCD, PIE-2020-16996 ile güncelleştirilmez etki alanı denetleyicileri kullanan veya ATL-2020-16996 için kullanılabilir bir güncelleştirmeyi olmayan Windows Server'ın (Window Server 2012'den daha eski) daha eski sürümlerini çalıştıran bir etki alanı içinde kullanılır. Güncelleştirilmemiş Anahtar Dağıtım Merkezleri (KDCler), temsilci ve protokol geçişi için uygun olarak S4USelf Kerberos hizmet biletlerini bayrakla atamaz.