Увага!: Дата випуску, що вже вказана в цій статті, змінилася. Зверніть увагу на нові дати випуску в розділах "вжити дії" та "час роботи з цими оновленнями Windows".
Загальні відомості
Уразливість функції безпеки в центрі розподілу ключів (KDC) визначає, чи можна використовувати квиток служби Kerberos для делегування за допомогою протоколу Kerberos (KDC). Щоб скористатися вразливістю, під загрозою, яка використовується для використання KCD, можна використовувати квиток служби Kerberos, який не підходить для делегування, щоб примусово прийняти цей обліковий запис. Ці оновлення Windows відповідно до цієї вразливості, змінивши, як KDC перевіряє авіаквитки служби Kerberos, які використовуються з KDC.
Щоб дізнатися більше про цю вразливість, перегляньте статтю "c -2020-17049".
|
Вжити заходів Щоб захистити навколишнє середовище та запобігти відключень, потрібно виконати всі наведені нижче дії.
|
Хронометраж цих оновлень Windows
Ці оновлення Windows буде випущено трьома етапами:
-
Початкова фаза розгортання для оновлень Windows випущено або після 8 грудня 2020.
-
Другий етап розгортання, за допомогою якого можна видалити для параметра Performtickipsignature0 , і потрібно встановити значення 1 або 2, або після 13 квітня 2021.
-
Фаза примусового виконання оновлень для Windows випущено або після 13 липня 2021.
8 грудня 2020: початкова фаза розгортання
Початкова фаза розгортання починає роботу з Windows Update, випущеною 8 грудня 2020, і продовжується з пізнішими оновленнями Windows для етапу виконання. Ці та пізніші оновлення Windows змінюють службу Kerberos. У цьому 8 грудня 2020 оновлення включає виправлення для всіх відомих проблем, спочатку введеної в 10 листопада 2020 випуску у службі "о-2020-17049". Це оновлення також додає підтримку для Windows Server 2008 з пакетом оновлень 2 (SP2) і Windows Server 2008 R2.
Цей випуск:
-
Адреси c-2020-17049 (у режимі розгортання за замовчуванням).
-
Додає підтримку для параметра реєстру Performticktпідпис , щоб активувати захист на серверах контролера домену Active Directory. За замовчуванням це значення не існує.
Пом'якшення складається з інсталяції оновлень Windows на всіх пристроях, які розміщують роль контролера домену Active Directory та контролери доменів, доступні лише для читання (RODCs), а потім увімкнувши режим виконання.
13 квітня 2021: другий етап розгортання
Другий етап розгортання почнеться з Windows Update, випущеного 13 квітня 2021. Цей етап видаляє параметр " Performtickipsignature " 0. Настроювання для параметра Performtickalsignature до 0 після інсталяції цього оновлення матиме такий самий ефект, як і для параметра performtickalsignature1. ЦСК буде здійснюватися в режимі розгортання.
Примітки
-
Цей етап не потрібен, якщо для Performtickensignature ніколи не було встановлено значення 0 у вашому середовищі. Цей етап допомагає переконатися в тому, що клієнти, які встановлюють для функції Performtickensignature0 , переміщуються до параметра 1 перед виконанням фази виконання .
-
Завдяки розгортанню 13 квітня 2021 оновлення за допомогою функції Performtickresignature до 1 буде ввімкнуто кількість квитків на обслуговування. Це зміна поведінки з попередніх оновлень у квітні 2021 для Windows, коли ви настроюєте підпис до 1 , який спричинив обслуговування квитків, які не підлягають поновлюваним.
-
У цьому оновленні передбачається, що всі контролери доменів оновлюються з 8 грудня 2020 оновлень або пізнішими оновленнями.
-
Після інсталяції цього оновлення, а також уручну або програмний параметр для Переоформлювання до 1 або новішої версії, непідтримувані контролери доменів Windows Server більше не працюватимуть із підтримуваними контролерами доменів. Це включає в себе Windows Server 2008 і Windows Server 2008 R2 без розширених оновлень системи безпеки (ESU) і Windows Server 2003.
13 липня 2021: виконання фази
13 липня 2021 Release переходів у фазу виконання. Фаза виконання забезпечує зміни до адреси c-2020-17049. Контролери доменів Active Directory тепер можуть виконувати режим примусового виконання. У режимі примусового виконання потрібно, щоб усі контролери доменів Active Directory мали 8 грудня 2020 оновлення або пізнішу версію Windows Update. У цей час настройки ключа реєстру Performtickipsignature буде проігноровано, а режим примусового виконання не можна змінити.
Інструкції з інсталяції
Перед інсталяцією цього оновлення
Перш ніж використовувати це оновлення, потрібно інсталювати наведені нижче потрібні оновлення. Якщо ви використовуєте Windows Update, ці необхідні оновлення пропонуватимуться автоматично за потреби.
-
Ви повинні мати оновлення SHA-2 (KB4474419), яке датовано 23 вересня 2019 або ПІЗНІШОЇ інсталяції SHA-2, а потім перезавантажте пристрій, перш ніж використовувати це оновлення. Щоб отримати докладні відомості про оновлення SHA-2, ознайомтеся з вимогами до служби підтримки, що стосуються 2019 SHA-2 для Windows і WSUS.
-
Для Windows Server 2008 R2 SP1, потрібно інсталювати оновлення стека (СБУ) (KB4490628), який датований 12 березня 2019. Після інсталяції оновлення KB4490628 радимо інсталювати найновішу ОНОВЛЕНУ версію СБУ. Докладні відомості про найновішу оновлену версію служби СБУ наведено в статті ADV990001 | Нещодавні обслуговування стек оновлень.
-
Для Windows Server 2008 із пакетом оновлень 2 (SP2) потрібно інсталювати поновлення стека обслуговування (ДСТУ) (KB4493730), який датований 9 квітня 2019. Після інсталяції оновлення KB4493730 радимо інсталювати найновішу ОНОВЛЕНУ версію СБУ. Докладні відомості про найновіші оновлення СБУ наведено в статті ADV990001 | Нещодавні обслуговування стек оновлень.
-
Клієнти зобов'язані придбати розширене оновлення системи безпеки (ESU) для локальних версій Windows Server 2008 SP2 або Windows Server 2008 R2 SP1 після подовженої підтримки, що завершується 14 січня 2020. Клієнти, які придбали ESU, повинні стежити за процедурами в KB4522133 , щоб продовжити отримувати оновлення системи безпеки. Щоб отримати докладніші відомості про ESU і про те, які випуски підтримуються, ознайомтеся з KB4497181.
Важливо! Після інсталяції цих оновлень потрібно перезавантажити пристрій.
Інсталяція всіх оновлень
Щоб вирішити вразливість системи безпеки, інсталюйте всі оновлення Windows і ввімкніть режим виконання, виконавши наведені нижче дії.
-
Розгорніть принаймні одне з оновлень від 8 грудня 2020 і 9 березня 2021 до всіх контролерів домену Active Directory в лісі.
-
Розгорніть 12 квітня 2021 оновлення принаймні одного або кількох тижнів після кроку 1.
-
Після оновлення всіх контролерів домену Active Directory зачекайте принаймні повний тиждень , щоб дозволити всім незакінченою службою самостійно (S4U2self) термін дії квитків на службу Kerberos, а потім виконати повний захист, щоб активувати режим примусового виконання контролера домену Active Directory.
Нотаток-
Якщо ви змінили час закінчення терміну дії квитка служби Kerberos з настройок за замовчуванням (за замовчуванням становить 7 днів), потрібно зачекати принаймні кількість днів, настроєних у вашому середовищі.
-
Ці кроки передбачають, що для Performtickensignature ніколи не було встановлено значення 0 у вашому середовищі. Якщо для параметра Performtickensignature встановлено значення 0, потрібно перейти до параметра 1 , перш ніж перейти до налаштування 2 (режим примусового виконання), і зачекайте принаймні через тиждень, щоб дозволити всім визначну службу, щоб термін дії квитка служби Kerberos (S4U2self) не закінчувався. Не потрібно переходити безпосередньо від параметра " 0 " до параметра " 2 " (режим примусового виконання).
-
Крок 1: інсталяція оновлень Windows
Інсталюйте відповідні 8 грудня 2020 Windows Update або пізнішу версію Windows Update для всіх пристроїв, які розміщують роль контролера домену Active Directory в лісі, включно з контролерами доменів для читання.
|
Продукт Windows Server |
KB # |
Тип оновлення |
|
Windows Server, версія 20H2 (інсталяція серверного сервера) |
Оновлення системи безпеки |
|
|
Windows Server, версія 2004 (інсталяція сервера Server) |
Оновлення системи безпеки |
|
|
Windows Server, версія 1909 (інсталяція сервера Server) |
Оновлення системи безпеки |
|
|
Windows Server, версія 1903 (інсталяція сервера Server) |
Оновлення системи безпеки |
|
|
Windows Server 2019 (інсталяція серверного сервера) |
Оновлення системи безпеки |
|
|
Windows Server 2019 |
Оновлення системи безпеки |
|
|
Windows Server 2016 (інсталяція серверного сервера) |
Оновлення системи безпеки |
|
|
Windows Server 2016 |
Оновлення системи безпеки |
|
|
Windows Server 2012 R2 (інсталяція серверного сервера) |
Щомісячне зведення |
|
|
Лише безпека |
||
|
Windows Server 2012 R2 |
Щомісячне зведення |
|
|
Лише безпека |
||
|
Windows Server 2012 (інсталяція серверного сервера) |
Щомісячне зведення |
|
|
Лише безпека |
||
|
Windows Server 2012 |
Щомісячне зведення |
|
|
Лише безпека |
||
|
Windows Server 2008 R2 з пакетом оновлень 1 |
Щомісячне зведення |
|
|
Лише безпека |
||
|
Windows Server 2008 з пакетом оновлень 2 |
Щомісячне зведення |
|
|
Лише безпека |
Крок 2: Увімкнення режиму примусового виконання
Після оновлення всіх пристроїв, які розміщують роль контролера домену Active Directory, зачекайте принаймні повний тиждень , щоб дозволити завершення терміну дії для всіх видатних квитків служби S4U2self Kerberos. Потім ввімкніть повний захист, розгорнувши режим виконання. Щоб виконати цю дію, увімкніть розділ реєстру в режимі примусового виконання.
Попередження! Якщо ви неправильно змінюєте реєстр за допомогою редактора реєстру або за допомогою іншого методу, можуть виникнути серйозні проблеми. Ці проблеми можуть знадобитися повторно інсталювати операційну систему. Корпорація Майкрософт не може гарантувати, що ці проблеми можна вирішити. Змінюйте реєстр на власний ризик.
Примітка. У цьому оновленні передбачено підтримку такого значення реєстру, щоб увімкнути режим примусового виконання. Цей параметр реєстру не створюється, інсталювавши це оновлення. Потрібно додати це значення реєстру вручну.
|
Підрозділ реєстру |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Значення |
Підпис для Переоформів |
|
Тип даних |
REG_DWORD |
|
Даних |
1: Увімкнення режиму розгортання. Виправлення ввімкнуто на контролері домену, але контролер домену Active Directory не вимагає, щоб квитки служби Kerberos відповідали на виправлення. Цей режим додає підтримку для підписів квитків на контролерах domain-2020-17049, але контролери доменів не вимагають підписання квитків. Це дає змогу використовувати початковий етап розгортання (ЦСК оновлено до початкового оновлення за грудень) і оновлені контролери доменів, які можна співіснувати. Коли всі контролери доменів оновлено та під час налаштування 1, буде підписано всі нові квитки. У цьому режимі нові квитки буде позначено як поновлювану. 2: Увімкнення режиму виконання це дає змогу виправити в потрібному режимі, де всі домени мають оновлюватися, і всі контролери доменів Active Directory вимагають наявності квитків служби Kerberos із підписами. За допомогою цього параметра всі квитки повинні бути підписані для того, щоб вважатися дійсною. У цьому режимі квитки знову буде позначено як поновлювану. 0: не рекомендовано. Вимикає підписи квитків служби Kerberos, а домени не захищено. Важливі Параметр 0 не сумісний із параметром "виконання" 2. Якщо режим примусового застосування буде застосовано, якщо для домену встановлено значення 0, можна виконати періодичні збої автентифікації. Ми радимо клієнтам перейти до параметра " 1 " перед виконанням стадії виконання (принаймні за тиждень, перш ніж застосовувати примусове застосування). |
|
За промовчанням |
1 (якщо ключ реєстру не задано) |
|
Чи потрібен перезапуск? |
Ні |
