Önemli: Bu makalede daha önce belirtilen sürüm tarihleri değiştirilmiştir. "Harekete Geç" ve "Bu Windows güncelleştirmelerinin zamanlaması" bölümlerindeki yeni sürüm tarihlerini lütfen unutmayın.
Özet
Anahtar Dağıtım Merkezi'nin (KDC), Kerberos Kısıtlanmış Temsilci (KCD) aracılığıyla temsilci için Kerberos hizmet bileti kullanıp kullanılayacağını belirlemesi gibi bir güvenlik özelliği atlama güvenlik açığı vardır. Bu açıktan yararlanmak için, KCD kullanmak üzere yapılandırılan güvenliği tehlikeye atılmış bir hizmet, temsilcinin KDC'yi kabul etmeye zorlaması için geçerli bir Kerberos hizmet biletiyle oynanmaya neden olabilir. Bu Windows güncelleştirmeleri, KDC'nin KCD ile kullanılan Kerberos hizmet anahtarlarını nasıl doğrulayacağını değiştirerek bu güvenlik açığını gidermektedir.
Bu güvenlik açığı hakkında daha fazla bilgi edinmek için BKZ. 2020-17049.
EylemDeLe Ortamınızı korumak ve kesintileri önlemek için aşağıdaki adımların hepsini izleyebilirsiniz:
|
Bu Windows güncelleştirmelerinin zamanlaması
Bu Windows güncelleştirmeleri üç aşamada yayınlanacak:
-
8 Aralık 2020 veya sonrasında yayımlanan Windows güncelleştirmelerinin ilk dağıtım aşaması.
-
PerformTicketSignature ayarını 0'ı kaldıran ve 13 Nisan 2021'den sonra veya 13 Nisan 2021'densonra 1 veya 2 ayarını gerektiren ikinci bir dağıtım aşaması.
-
13 Temmuz 2021'de veya sonrasında yayımlanan Windows güncelleştirmeleri için Zorlama aşaması.
8 Aralık 2020: İlk Dağıtım Aşaması
İlk dağıtım aşaması, 8 Aralık 2020'de yayımlanan Windows güncelleştirmesi ile başlar ve Zorlama aşaması için sonraki bir Windows güncelleştirmesi ile devam eder. Bu ve sonraki Windows güncelleştirmeleri Kerberos'da değişiklik yapacaktır. 8 Aralık 2020 güncelleştirmesi, 10 Kasım 2020 ile 2020 ve 17049'da yayınlanan bilinen tüm sorunlar için düzeltmeler içerir. Bu güncelleştirme, Windows Server 2008 SP2 ve Windows Server 2008 R2 için de destek ekler.
Bu sürüm:
-
TEMSLİ-2020-17049 adreslerini (varsayılan olarak Dağıtım modunda).
-
Active Directory etki alanı denetleyicisi sunucularında korumayı etkinleştirmek için PerformTicketSignature kayıt defteri değeri için destek ekler. Varsayılan olarak, bu değer yoktur.
Azaltma, Windows güncelleştirmelerinin Active Directory etki alanı denetleyicisi rolüne ve salt okunur etki alanı denetleyicilerine (VERİtC) sahip olan tüm cihazlara yüklenmesi ve ardından Zorlama modunun etkinleştirilmesini içerir.
13 Nisan 2021: İkinci Dağıtım Aşaması
İkinci dağıtım aşaması, 13 Nisan 2021'de yayımlanan Windows güncelleştirmesi ile başlar. Bu aşama, 0 PerformTicketSignatureayarını kaldırır. Bu güncelleştirme yüklendikten sonra PerformTicketSignature'ın0 olarak ayarlaması, PerformTicketSignature'ın 1 olarak ayarlanmamış olmasıyla aynı etkiyi yapacaktır. DCS'ler Dağıtım modunda olur.
Notlar
-
Ortamınıza PerformTicketSignature hiçbir zaman 0 olarak ayarlanmamışsa bu aşama gerekmez. Bu aşama, PerformTicketSignature'i0 olarak ayar eden müşterilerin Zorlama aşamasından önce 1 ayarına taşındığından emin olmak için yardımcı olur.
-
13 Nisan 2021 güncelleştirmelerinin dağıtımıyla birlikte, PerformTicketSignature'ın1 olarak ayarlanacak olması hizmet biletlerinin yenilenebilir olması için olanak sağlayacaktır. Bu, PerformTicketSignature'ı 1 olarak ayarlarken Oluşan Nisan 2021 Öncesi Windows Güncelleştirmeleri'nin davranış değişikliğidir ve hizmet biletlerinin yenilenebilir olması gerekmemektedir.
-
Bu güncelleştirmede, tüm Etki Alanı Denetleyicilerinin 8 Aralık 2020 güncelleştirmeleriyle veya daha sonraki güncelleştirmelerle güncelleştirilmiş olduğu varsayıldı.
-
Bu güncelleştirmeyi yükledikten ve PerformTicketSignature'ı1 veya daha yüksek bir değere el ile veya programlı olarak ayardikten sonra, desteklenmeyen Windows Server etki alanı denetleyicileri artık desteklenen etki alanı denetleyicileriyle çalışmaz. Bu, Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) olmadan Windows Server 2008 ve Windows Server 2008 R2 ve Windows Server 2003'ü içerir.
13 Temmuz 2021: Zorlama Aşaması
13 Temmuz 2021 sürümü zorlama aşamasına geçişler. Zorlama aşaması, TİPİ-2020-17049'da yapılan değişiklikleri zorlar. Active Directory etki alanı denetleyicileri artık Zorlama modu özelliğine sahip. Zorlama moduna geçmektedir, tüm Active Directory etki alanı denetleyicilerinde 8 Aralık 2020 güncelleştirmesi veya daha sonraki bir Windows güncelleştirmesi yüklü olmalıdır. Şu anda, PerformTicketSignature kayıt defteri anahtarı ayarları yoksayılır ve Zorlama modu geçersiz kılınamaz.
Yükleme kılavuzu
Bu güncelleştirmeyi yüklemeden önce
Bu güncelleştirmeyi uygulamadan önce aşağıdaki gerekli güncelleştirmelerin yüklenmiş olması gerekir. Windows Update kullanıyorsanız, bu gerekli güncelleştirmeler gerektiğinde otomatik olarak sunulacaktır.
-
23 Eylül 2019 veya sonraki bir SHA-2 güncelleştirmesini(KB4474419) yüklemiş ve bu güncelleştirmeyi uygulamadan önce cihazınızı yeniden başlatmış olmalıdır. SHA-2 güncelleştirmeleri hakkında daha fazla bilgi için bkz. Windows ve WSUS için 2019 SHA-2 Kod İmzalama Desteği gereksinimi.
-
Windows Server 2008 R2 SP1 için, 12 Mart 2019 tarihli hizmet yığını güncelleştirmesini (SSU)(KB4490628)yüklemişsinizdir. KB4490628 güncelleştirmesi yüklendikten sonra en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmesi hakkında daha fazla bilgi için bkz. ADV990001 | En Son Hizmet Yığını Güncelleştirmeleri.
-
Windows Server 2008 SP2 için, 9 Nisan 2019 tarihli hizmet yığını güncelleştirmesini (SSU)(KB4493730)yüklemişsinizdir. KB4493730 güncelleştirmesi yüklendikten sonra en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmeleri hakkında daha fazla bilgi için bkz. ADV990001 | En Son Hizmet Yığını Güncelleştirmeleri.
-
Genişletilmiş destek 14 Ocak 2020'de sona erdikten sonra, müşterilerin Windows Server 2008 SP2 veya Windows Server 2008 R2 SP1'in şirket içi sürümleri için Genişletilmiş Güvenlik Güncelleştirmesi'ne (ESU) sahip olması gerekir. ESU'yi satın alan müşterilerin güvenlik güncelleştirmelerini almaya devam etmek için KB4522133'te yer alan yordamları izlemeleri gerekir. ESU ve desteklenen sürümler hakkında daha fazla bilgi için bkz. KB4497181.
Önemli Bu gerekli güncelleştirmeleri yükledikten sonra cihazınızı yeniden başlatmanız gerekir.
Tüm güncelleştirmeleri yükleme
Güvenlik açıklarını çözmek için, aşağıdaki adımları kullanarak tüm Windows güncelleştirmelerini yükleyin ve Zorlama modunu etkinleştirin:
-
8 Aralık 2020 ile 9 Mart 2021 arasındaki güncelleştirmelerden en az birini, orman içinde bulunan tüm Active Directory etki alanı denetleyicilerine dağıtın.
-
12 Nisan 2021 güncelleştirmesini, 1. adımdan en az bir veya daha fazla hafta sonra dağıtın.
-
Tüm Active Directory etki alanı denetleyicileri güncelleştirildikten sonra, En az bir hafta bekleerek Kullanıcının Self (S4U2self) Kerberos hizmet anahtarlarının süresinin dolmasını bekleyin ve Active Directory etki alanı denetleyicisi Zorlama modu dağıtarak tam koruma etkinleştirilebilir.
Notlar-
Kerberos hizmet biletinin süre sonu saatlerini varsayılan ayarlardan (varsayılan olarak 7 gündür) değiştir yaptıysanız, en azından ortamınız için yapılandırılan gün sayısını beklemeniz gerekir.
-
Bu adımlarda, Ortamınıza PerformTicketSignature'ın hiç 0 olarak ayarlanmamış olduğu varsayılacaktır. PerformTicketSignature 0 olarak ayarlanmışsa, 2(Zorlama modu) ayarına başlamadan önce 1. ayara geçer ve kullanıcının self (S4U2self) için bekleyen tüm Hizmet süresinin dolmasına izin vermek için en az bir hafta beklemeniz gerekir. Doğrudan 0 ayarından 2'ye (Zorlama modu) geçebilirsiniz.
-
1. Adım: Windows güncelleştirmelerini yükleme
Uygun 8 Aralık 2020 Windows güncelleştirmesini veya sonraki bir Windows güncelleştirmesini, salt okunur etki alanı denetleyicileri de dahil olmak üzere, active Directory etki alanı denetleyicisi rolünün bulunduğu tüm cihazlara yükleyin.
Windows Server ürünü |
KB # |
Güncelleştirme türü |
Windows Server, sürüm 20H2 (Sunucu Çekirdek Yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server, sürüm 2004 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server, sürüm 1909 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server, sürüm 1903 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server 2019 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server 2019 |
Güvenlik Güncelleştirmesi |
|
Windows Server 2016 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server 2016 |
Güvenlik Güncelleştirmesi |
|
Windows Server 2012 R2 (Sunucu Çekirdek yüklemesi) |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2012 R2 |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2012 (Sunucu Çekirdek yüklemesi) |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2012 |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2008 R2 Service Pack 1 |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2008 Service Pack 2 |
Aylık Toplama |
|
Yalnızca Güvenlik |
2. Adım: Zorlama modunu etkinleştirme
Active Directory etki alanı denetleyicisi rolünün barındır olduğu tüm cihazlar güncelleştirildikten sonra, bekleyen tüm S4U2self Kerberos hizmet anahtarlarının süresinin dolmasına izin vermek için en az bir hafta bekleyin. Ardından, Zorlama modunu dağıtarak tam korumayı etkinleştirin. Bunu yapmak için Zorlama modu kayıt defteri anahtarını etkinleştirin.
Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterinin değiştirilmesi, tamamen sizin sorumluluğunuzdur.
Not Bu güncelleştirme, Zorlama modunu etkinleştirmek için aşağıdaki kayıt defteri değeri için destek sağlar. Bu kayıt defteri değeri, bu güncelleştirme yükleyerek oluşturulmaz. Bu kayıt defteri değerini el ile eklemeniz gerekir.
Kayıt defteri alt anahtarı |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Değer |
PerformTicketSignature |
Veri türü |
REG_DWORD |
Veri |
1:Dağıtım modunu sağlar. Düzeltme etki alanı denetleyicisinde etkinleştirilir, ancak Active Directory etki alanı denetleyicisi, Kerberos hizmet anahtarlarının düzeltmeye uymasını gerektirmez. Bu mod, TİPİ-2020-17049 güncelleştirilmiş etki alanı denetleyicilerinde bilet imzaları için destek ekler, ancak etki alanı denetleyicilerinin imzalanmış biletler gerektirmesi gerekir. Bu, İlk Dağıtım Aşaması (Aralık ilk Dağıtım güncelleştirmesi ile güncelleştirilen PC'ler) ve güncelleştirilmiş etki alanı denetleyicilerinin bir arada yerlenmesine olanak sağlar. Tüm etki alanı denetleyicileri güncelleştirildiğinde ve 1 ayarındatüm yeni biletler imzalanacak. Bu modda yeni biletler yenilenebilir olarak işaretlenir. 2: Zorlama modunu sağlar Bu, tüm etki alanlarının güncelleştirilmiş olması gereken ve tüm Active Directory etki alanı denetleyicilerinin imzaları olan Kerberos hizmet anahtarları gerektirmesi gereken gerekli modda düzeltmeyi sağlar. Bu ayar ile, geçerli kabul etmek için tüm biletlerin imzalanmış olması gerekir. Bu modda, biletler yeniden yenilenebilir olarak işaretlenir. 0: Önerilmez. Kerberos hizmet biletleri imzalarını devre dışı bırakacaktır ve etki alanlarınız korunmaz. Önemli: 0 ayarı, zorlama ayarı 2 ile uyumlu değil. Etki alanı 0 olarak ayarlanırken Zorlama modu sonraki aşamada uygulandığında aralıklı kimlik doğrulama hataları oluşabilir. Müşterilerin zorlama aşamasından önce 1. ayara (zorlama uygulamadan en az bir hafta önce) başvurmalarını öneririz. |
Varsayılan |
1 (kayıt defteri anahtarı ayarlanmazken) |
Yeniden başlatma gerekiyor mu? |
Hayır |