УВАГА! Дата застосування режиму, як описано в цій статті, змінилася на 9 березня 2021 р. |
Загальні відомості
Якщо використовується захищені користувачі та делегування на основі ресурсів (RBCD), на контролерах домену Active Directory може існувати вразливість системи безпеки. Докладні відомості про вразливість системи безпеки див. в статтях CVE-2020-16996.
Вживати заходів Щоб захистити середовище та запобігти перебоїв, виконайте такі дії:
|
Час оновлення
Ці Windows з'являться в два етапи:
-
Початковий етап розгортання для оновлень Windows, випущених 8 грудня 2020 р. або після 8 грудня 2020 р.
-
Етап виконання оновлення для Windows, випущених 9 березня 2021 року або після 9 березня 2021 р.
8 грудня 2020 р.: етап початкового розгортання
Початковий етап розгортання починається з оновлення Windows, випущеного 8 грудня 2020 р., і продовжить Windows оновлення для етапу застосування. Ці та новіші Windows вносити зміни до Kerberos.
Цей випуск:
-
Адреси CVE-2020-16996 (вимкнуто за замовчуванням).
-
Додає підтримку для значення реєстру NonForwardableDelegation, щоб увімкнути захист на серверах контролера домену Active Directory. За замовчуванням це значення не існує.
Mitigation передбачає інсталяцію оновлень Windows на всіх пристроях, на яких розміщено роль контролера домену Active Directory та контролерів домену лише для читання (RODCs), а потім активовано режим примусової застосування.
9 березня 2021 р.: етап виконання
9 березня 2021 року випуск переходу на етап виконання. На етапі застосування змін змінюється адреса CVE-2020-16996. Контролери домену Active Directory перейтимуться в режим застосування, якщо для розділу реєстру режиму застосування не встановлено значення 1 (вимкнуто). Якщо встановлено розділ реєстру режиму застосування, він буде дотриманий. Щоб активувати режим застосування, усі контролери домену Active Directory мають інсталювати оновлення від 8 грудня 2020 р. або пізнішої версії.
Інструкції з інсталяції
Перед інсталяцією цього оновлення
Перш ніж застосовувати це оновлення, потрібно інсталювати наведені нижче обов'язкові оновлення. Якщо використовується Windows Update, ці необхідні оновлення пропонуватидуть автоматично за потреби.
-
Потрібно інсталювати оновлення SHA-2(KB4474419)від 23 вересня 2019 р. або пізнішої версії оновлення SHA-2, а потім перезавантажити пристрій, перш ніж застосовувати це оновлення. Докладні відомості про оновлення SHA-2 див. в довідці з підтримки підписування коду 2019 SHA-2 Windows WSUS.
-
Для Windows Server 2008 R2 з пакетом оновлень 1 (SP1) потрібно інсталювати оновлення стека обслуговування (SSU)(KB4490628),датоване 12 березня 2019 р. Після інсталяції оновлення KB4490628 радимо інсталювати останнє оновлення SSU. Докладні відомості про найновіше оновлення SSU див. в | Останні оновлення стека обслуговування.
-
Для Windows Server 2008 із пакетом оновлень 2 (SP2) потрібно інсталювати оновлення стека обслуговування (SSU)(KB 4493730),яке від 9 квітня 2019 р. Після інсталяції оновлення KB4493730 радимо інсталювати останнє оновлення SSU. Докладні відомості про останні оновлення SSU див. в | Останні оновлення стека обслуговування.
-
Клієнти повинні придбати розширене оновлення системи безпеки (ESU) для локальних версій Windows Server 2008 із пакетом оновлень 2 (SP2) або Windows Server 2008 R2 з SP1 після завершення розширеної підтримки 14 січня 2020 р. Клієнти, які придбали цей пакет, повинні виконати процедури, наведені в статті KB4522133, щоб і надалі отримувати оновлення системи безпеки. Докладні відомості про випуски ESU та їхні випуски див. в статті KB4497181.
Важливо! Після інсталяції цих обов'язкових оновлень необхідно перезавантажити пристрій.
Інсталяція оновлення
Щоб усунути вразливість системи безпеки, інсталюйте оновлення Windows та ввімкніть режим виконання, виконавши наведені нижче дії.
Попередження! Якщо ці оновлення Windows та значення реєстру неузгодлено застосуються в одному або обох наведених нижче сценаріях, можуть виникати періодичні проблеми з автентифікацією.
Важливо! Обидва Windows та значення реєстру потрібно застосовувати послідовно на контролерах домену ALL Active Directory у вашому середовищі. |
Крок 1. Інсталяція Windows оновлення
Інсталюйте оновлення 8 грудня 2020 Windows року або пізнішу версію Windows на всі пристрої, на яких роль контролера домену Active Directory розміщено в лісі, зокрема до контролерів домену лише для читання.
Windows Server |
КБ # |
Тип оновлення |
Windows Server, версія 20H2 (серверна основна інсталяція) |
Оновлення системи безпеки |
|
Windows Server, версія 2004 (server Core installation) |
Оновлення системи безпеки |
|
Windows Server, версія 1909 (інсталяція Server Core) |
Оновлення системи безпеки |
|
Windows Server, версія 1903 (інсталяція Server Core) |
Оновлення системи безпеки |
|
Windows Server 2019 (інсталяція Server Core) |
Оновлення системи безпеки |
|
Windows Server 2019 |
Оновлення системи безпеки |
|
Windows Server 2016 (серверна основна інсталяція) |
Оновлення системи безпеки |
|
Windows Server 2016 |
Оновлення системи безпеки |
|
Windows Server 2012 R2 (інсталяція Server Core) |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2012 R2 |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2012 (серверна основна інсталяція) |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2012 |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2008 R2 з пакетом оновлень 1 |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2008 з пакетом оновлень 2 |
Щомісячне зведення |
|
Лише безпека |
Крок 2. Увімкнення режиму застосування
Після оновлення всіх пристроїв, на яких оновлюються ролі контролера домену Active Directory, зачекайте щонайменше повний день, щоб термін дії квитків на службу Self (S4U2self) Kerberos завершиться. Потім увімкніть повний захист, розгорнувши режим застосування. Для цього ввімкніть розділ реєстру Режим застосування.
Попередження! У разі внесення неправильних змін до реєстру за допомогою редактора реєстру або іншим способом можуть виникнути серйозні проблеми. Для цих проблем може знадобитись повторно інсталювати операційну систему. Корпорація Майкрософт не гарантує вирішення цих проблем. Змінюйте реєстр на власний ризик.
Примітка. Це оновлення не створюється під час інсталяції цього оновлення. Це значення реєстру потрібно додати вручну.
Підрозділ реєстру |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Значення |
NonForwardableDelegation |
Тип даних |
REG_DWORD |
Дані |
1.Вимикає режим виконання. 0:вмикає режим виконання. Це захищений стан. |
За замовчуванням |
1 |
Чи потрібно перезавантажити комп'ютер? |
Ні |
Зауваження щодо значення реєстру
NonForwardableDelegation:
-
Якщо встановлено значення реєстру, він має переважну силу над параметром режиму застосування, що входить до 9 березня 2021 Windows оновлення.
-
Якщо для параметра registry value (1( Disable) установлено значення 1 (Disable), пересилання буде дозволено для запитів на обслуговування Kerberos, які not позначено як переспрямовані.
-
Якщо для параметра registry value (0) (Enable) установлено значення 0 (Enable), пересилання НЕ дозволено для запитів на обслуговування Kerberos, які не позначено як переспрямовані.
-
-
Якщо ваш домен включає контролери домену Windows Server 2008 R2 або попередніх версій Active Directory, не потрібно встановлювати режим застосування, оскільки ці контролери доменів не підтримують RBCD.
-
Невдале оновлення всіх контролерів домену Active Directory, якщо ввімкнути режим примусово, можуть виникати періодичні помилки делегування служби.
-
Перед установленням режиму виконання:
-
Усі контролери домену Active Directory потрібно оновити в оновленні 8 грудня 2020 Windows або пізнішої версії, Windows оновлення, і
-
Термін дії всіх невиконаних запитів на обслуговування S4USelf Kerberos має минути через день після завершення розгортання Windows на всі контролери доменів Active Directory.
-
Додаткові рекомендації
Якщо цей захист увімкнуто, він уніфікує логіку Resource-Based обмеженого делегування (RBCD) з вихідним обмеженим делегуванням. Це може спричинити проблеми в таких двох сценаріях:
-
В одній службі одночасно використовується вихідне делегування Kerberos Constrained Delegation (KCD) без переходу протоколу до одного об'єкту під час використання RBCD з переходом протоколу до іншого. Після цієї зміни перехід "Відмова від протоколу" буде застосовано до обох стилів делегування.
-
RBCD використовується в домені, який використовує контролери домену, не оновлені за допомогою CVE-2020-16996 або старіших версій Windows Server (старіші за Windows Server 2012), які не мають доступного оновлення для CVE-2020-16996. Неоновлених центрів розсилки не позначатимуться запити на обслуговування S4USelf Kerberos як доступні для делегування та переходу за протоколом.