Özet
13 Temmuz 2021 Windows güncelleştirmeleri ve daha sonraki güncelleştirmeler, WINDOWS-2021-33757 için EK korumalar ekler.
13 Temmuz 2021 Windows güncelleştirmelerini veya sonraki Windows güncelleştirmelerini yükledikten sonra, SAM sunucusu tarafından AES şifrelemesi desteklenirse, parola işlemleri için eski MS-SAMR protokolü kullanılırken Windows istemcilerde tercih edilen yöntem Gelişmiş Şifreleme Standardı (AES) şifrelemesi olur. SAM sunucusu AES şifrelemesi desteklenmiyorsa, eski RC4 şifrelemesine geri dönüşe izin verilir.
THE-20201-33757'daki değişiklikler MS-SAMR protokolüne özgüdür ve diğer kimlik doğrulama protokollarından bağımsızdır. MS-SAMR, RPC üzerinden SMB ve adlandırılmış kanallar kullanır. SMB şifrelemeyi de destekliyor olsa da, varsayılan olarak etkin değildir. Varsayılan olarak, YERMİ-20201-33757'de yapılan değişiklikler etkinleştirilir ve SAM katmanında ek güvenlik sağlar. 13 Temmuz 2021 güncelleştirmelerine ve desteklenen tüm WINDOWS güncelleştirmelerine dahil edilen VELI-2 Windows 0201-33757 için korumaları yükleme dışında başka yapılandırma değişikliği Windows. Güncelleştirmelerin desteklenmeyen sürümleri Windows devam ettiril olmalı veya desteklenen bir sürüme yükseltilmelidir.
NOT THE-2021-33757 yalnızca, MS-SAMR protokolünün belirli API'lerini kullanırken parolaların iletili olarak nasıl şifrelenmeleri ile ilgili değişiklik yapar ve özel olarak parolaların depolandığı yerde DEĞIŞIKLIK YAPMAZ. Active Directory'de ve yerel olarak SAM Veritabanında (kayıt defterinde) depolanan parolaların nasıl şifrelenmeleri hakkında daha fazla bilgi için bkz. Parolalara Genel Bakış.
Daha fazla bilgi
-
Parola değiştirme deseni
Güncelleştirmeler, AES'nin kullanımına uygun yeni bir parola değiştirme yöntemi ekleyerek protokolün parola değişim desenini değiştirir.
RC4 ile Eski Yöntem
AES ile Yeni Yöntem
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
MS-SAMR OpNums'un tam listesi için bkz. İleti İşleme Olayları ve Kuralları Sequencing.
-
Parola kümesi deseni
Güncelleştirmeler, SamrSetInformationUser2(Opnum 58) yöntemine iki yeni Kullanıcı Bilgisi Sınıfı ekleyerek protokolün parola kümesi desenini değiştirir. Parola bilgilerini aşağıdaki gibi kurabilirsiniz.
RC4 ile Eski Yöntem
AES ile Yeni Yöntem
SamrSetInformationUser2 (Opnum 58), RC4 ile şifrelenmiş bir kullanıcı parolası bulunduran UserInternal4InformationNew ile birlikte.
SamrSetInformationUser2 (Opnum 58), AES ile şifrelenmiş bir kullanıcı parolası bulunduran UserInternal8Information ile birlikte.
SamrSetInformationUser2 (Opnum 58), RC4 ve diğer tüm kullanıcı öznitelikleriyle şifrelenmiş bir kullanıcı parolası bulunduran UserInternal5InformationNew ile birlikte.
SamrSetInformationUser2 (Opnum 58), AES'ye ve diğer tüm kullanıcı özniteliklerine sahip şifreli bir parolaya sahip UserInternal7Information ile birlikte.
Var olan SamrConnect5 yöntemi normalde SAM istemcisiyle sunucusu arasında bağlantı kurmak için kullanılır.
Güncelleştirilmiş bir sunucu şimdi, kimlik bilgisinde tanımlandığı gibi SamrConnect5() yanıtına yeni bir SAMPR_REVISION_INFO_V1.
|
Değer |
Anlamı |
|
0x00000010 |
İstemci tarafından alındı bilgisi geldiğinde, bu değer ayarlanırken istemcinin kablo üzerinden gönderilen parola arabelleğerlerini şifrelemek için SAMPR_ENCRYPTED_PASSWORD_AES yapısıyla AES Şifrelemesi kullanması gerektiğini belirtir. Bkz. AES Şifreleme Kullanımı (bölüm 3.2.2.4) SAMPR_ENCRYPTED_PASSWORD_AES (bölüm 2.2.6.32). |
Güncelleştirilmiş sunucu AES'i destekliyorsa, istemci parola işlemleri için yeni yöntemler ve yeni bilgi sınıfları kullanır. Sunucu bu bayrağı geri getirmüyorsa veya istemci güncelleştirilmezse, istemci RC4 şifrelemesi ile önceki yöntemleri kullanmaya geri döner.
Parola Kümesi işlemleri yazılabilir bir etki alanı denetleyicisi (RWDC) gerektirir. Parola değişiklikleri, Salt Okunur Etki Alanı Denetleyicisi (DC) tarafından bir RWDC'ye iletmektedir. AES'nin kullan olması için tüm cihazların güncelleştirilmiş olması gerekir. Örneğin:
-
İstemci, DESMİ veya RWDC güncelleştirilmezse RC4 şifrelemesi kullanılır.
-
İstemci, AYRıCALIC ve RWDC güncelleştirildiğinde AES şifrelemesi kullanılır.
13 Temmuz 2021 güncelleştirmeleri, güncelleştirilmiş cihazların belirlenmesine ve güvenliğin iyileştirilmesine yardımcı olmak için sistem günlüğüne dört yeni olay ekler.
-
Yapılandırma durumu Olay Kimliği 16982 veya 16983, başlatma sırasında veya bir kayıt defteri yapılandırma değişikliği üzerine oturum açmış.
Olay Kimliği 16982Olay günlüğü
Sistem
Olay kaynağı
Directory-Services-SAM
Olay Kimliği
16982
Düzey
Bilgi
Olay iletisi metni
Güvenlik hesabı yöneticisi artık eski parola değişikliğini çağıran veya RPC yöntemlerini ayaran uzak istemciler için ayrıntılı olayları günlüğe kaydetmeye başladı. Bu ayar çok fazla sayıda iletiye neden olabilir ve sorunları tanılamak için yalnızca kısa bir süre boyunca kullanılmalıdır.
Olay Kimliği 16983Olay günlüğü
Sistem
Olay kaynağı
Directory-Services-SAM
Olay Kimliği
16983
Düzey
Bilgi
Olay iletisi metni
Güvenlik hesabı yöneticisi artık eski parola değişikliğini çağıran veya RPC yöntemlerini çağıran uzak istemciler için düzenli aralıklarla özet olayları günlüğe kaydetmeye başladı.
-
13 Temmuz 2021 güncelleştirmesini uygulamaya başladıktan sonra, her 60 dakikada bir System olay günlüğüne bir Özet Olayı 16984 günlüğe kaydedilir.
Olay Kimliği 16984Olay günlüğü
Sistem
Olay kaynağı
Directory-Services-SAM
Olay Kimliği
16984
Düzey
Bilgi
Olay iletisi metni
Güvenlik hesap yöneticisi son 60 dakika içinde %x'in eski parola değişikliğini algıladı veya RPC yöntemi aramaları ayarladı.
-
Ayrıntılı olay günlüğünü yapılandırdikten sonra, hesap parolasını değiştirmek veya ayarlamak için eski bir RPC yöntemi her kullan etkinliğinde System olay günlüğüne Olay Kimliği 16985 günlüğe kaydedilir.
Olay Kimliği 16985Olay günlüğü
Sistem
Olay kaynağı
Directory-Services-SAM
Olay Kimliği
16985
Düzey
Bilgi
Olay iletisi metni
Güvenlik hesabı yöneticisi, ağ istemcisinde eski bir değişikliğin kullanımını algıladı veya RPC yöntemini ayarladı. Bu yöntemin en son ve daha güvenli sürümünü kullanmak için istemci işletim sistemini veya uygulamasını yükseltmeyi göz önünde bulundurabilirsiniz.
Ayrıntılar:
RPC Yöntemi: %1
İstemci Ağı Adresi: %2
İstemci SID: %3
Kullanıcı adı: %4
Ayrıntılı Olay Kimliği 16985 günlüğe kayıt etmek için, sunucu veya etki alanı denetleyicisinde aşağıdaki kayıt defteri değerini değiştirebilirsiniz.
Yol
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Tür
REG_DWORD
Değer adı
AuditLegacyPasswordRpcMethods
Value data
1 = ayrıntılı günlük etkinleştirildi
0 veya yok = ayrıntılı günlük devre dışı bırakılır. Yalnızca özet olayları. (Varsayılan)
Yeni SamrUnicodeChangePasswordUser4 (Opnum 73) içinde açıklandığı gibi, yeni SamrUnicodeChangePasswordUser4 yöntemini kullanırsanız, istemci ve sunucu düz metin eski paroladan bir şifreleme ve şifre çözme anahtarı türetmek için PBKDF2 Algoritması'nı kullanır. Bunun nedeni, eski parolanın hem sunucu hem de istemci için bilinen tek ortak paroladır.
PBKDF2 hakkında daha fazla bilgi için bkz. BCryptDeriveKeyPBKDF2 işlevi (bcrypt.h).
Performans ve güvenlik nedenleriyle değişiklik yapmak gerekirse, istemcide parola değişikliği için istemci tarafından kullanılan PBKDF2 yineleme sayısını ayarlamak için istemcide aşağıdaki kayıt defteri değerini ayarlayabilirsiniz.
Not: PBKDF2 yinelemelerinin sayısını azaltmak güvenliği azaltacak. Bu say ın varsayılan değerden azaltması önerilmez. Bununla birlikte, mümkün olan en yüksek PBKDF2 yineleme sayısını öneririz.
|
Yol |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
|
Tür |
REG_DWORD |
|
Değer adı |
PBKDF2 Ölçütler |
|
Value data |
En az 5.000 ile en fazla 1.000.000 |
|
Varsayılan değer |
10,000 |
Not: PbKDF2, parola kümesi işlemleri için kullanılamaz. Parola kümesi işlemleri için SMB oturum anahtarı, istemci ile sunucu arasında paylaşılan bir paroladır ve şifreleme anahtarlarının türetkisi için temel olarak kullanılır.
Daha fazla bilgi için bkz. SMB Oturum Anahtarı almak.
Sık Sorulan Sorular (SSS)
Düşürme işlemi, sunucu veya istemci AES'i desteklemezse gerçekleşir.
RC4'ün olduğu eski yöntemler kullanılırken güncelleştirilmiş sunucular günlük olaylarını günlüğe kaydedilir.
Şu anda kullanılabilir zorlama modu yoktur, ancak gelecekte de olabilir. Henüz bir tarihimiz yok.
Üçüncü taraf bir cihaz SAMR protokolünü kullan forma sahipse, bu önemli değildir. MS-SAMR protokolünü uygulayan üçüncü taraf satıcılar bunu uygulamayı seçebilir. Sorularınız için üçüncü taraf satıcısına başvurun.
Ek değişiklik gerekli değildir.
Bu protokol eskidir ve kullanımının çok düşük olduğunu tahmin ediyoruz. Eski uygulamalar bu API'leri kullanabilir. Ayrıca, AD Kullanıcıları ve Bilgisayarlar MMC gibi bazı Active Directory araçları SAMR kullanır.
Hayır. Yalnızca bu belirli SAMR API'lerini kullanan parola değişiklikleri etkilenir.
Evet. PBKDF2 RC4'den daha pahalıdır. SamrUnicodeChangePasswordUser4 API'si çağıran etki alanı denetleyicisinde aynı anda birçok parola değişikliği yaşanıyorsa, LSASS'nin CPU yükü etkilenebilir. Gerekirse istemcilerde PBKDF2 yinelemelerini değiştirebilirsiniz, ancak bunun güvenliği düşürecek şekilde varsayılandan azaltmayı önerilmez.
Başvurular
AES-CBC ve HMAC-SHA ile Kimliği Doğrulanmış Şifreleme
Üçüncü taraf bilgileri ile ilgili uyarı
Teknik destek bulamanıza yardımcı olmak için üçüncü taraf iletişim bilgilerini sağlaruz. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgisinin doğruluğu garanti edilemez.
