QUAN TRỌNG Ngày bắt đầu chế độ Thực thi như được lưu ý trước đó trong bài viết này đã thay đổi sang 09/03/2021. |
Tóm tắt
Nếu bạn sử dụng Người dùng được Bảo vệ và Ủy quyền Dựa trên Tài nguyên (RBCD), một lỗ hổng bảo mật có thể tồn tại trên bộ kiểm soát miền Active Directory. Để tìm hiểu thêm về lỗ hổng bảo mật, hãy xem CVE-2020-16996.
Thực hiện Hành động Để bảo vệ môi trường của bạn và ngăn ngừa sự cố, bạn phải làm như sau:
|
Thời gian cập nhật
Các bản Windows nhật này sẽ được phát hành trong hai giai đoạn:
-
Giai đoạn triển khai ban đầu cho Windows cập nhật phát hành vào hoặc sau ngày 8 tháng 12 năm 2020.
-
Giai đoạn thực thi đối với Windows được phát hành vào hoặc sau ngày 9 tháng 3 năm 2021.
08/12/2020: Giai đoạn triển khai ban đầu
Giai đoạn triển khai ban đầu bắt đầu với bản cập nhật Windows được phát hành vào 08/12/2020 và tiếp tục với bản cập nhật Windows cho giai đoạn Thực thi sau này. Những bản cập nhật này Windows sẽ thực hiện thay đổi cho Kerberos.
Bản phát hành này:
-
Địa chỉ CVE-2020-16996 (bị vô hiệu hóa theo mặc định).
-
Thêm hỗ trợ cho giá trị sổ đăng ký NonForwardableDelegation để cho phép bảo vệ trên các máy chủ bộ điều khiển tên miền Active Directory. Theo mặc định, giá trị không tồn tại.
Việc giảm thiểu bao gồm việc cài đặt các bản cập nhật Windows trên mọi thiết bị lưu trữ vai trò bộ kiểm soát tên miền Active Directory và bộ kiểm soát miền chỉ đọc (CẬP NHẬT), sau đó bật chế độ Thực thi.
09/03/2021: Giai đoạn Thực thi
Bản phát hành 09/03/2021 sẽ chuyển sang giai đoạn thực thi. Giai đoạn thực thi các thay đổi để giải quyết CVE-2020-16996. Giờ đây, bộ kiểm soát miền Active Directory sẽ ở chế độ Thực thi trừ khi khóa đăng ký chế độ thực thi được đặt thành 1 (Đã vô hiệu hóa). Nếu khóa đăng ký chế độ Thực thi được đặt, thiết đặt này sẽ được tôn trọng. Việc chuyển sang chế độ Thực thi yêu cầu tất cả bộ kiểm soát miền Active Directory phải cài đặt bản cập nhật 08/12/2020 hoặc bản cập nhật mới hơn.
Hướng dẫn cài đặt
Trước khi cài đặt bản cập nhật này
Bạn phải cài đặt các bản cập nhật cần thiết sau đây trước khi áp dụng bản cập nhật này. Nếu bạn sử dụng Windows Update, những bản cập nhật bắt buộc này sẽ được tự động cung cấp khi cần.
-
Bạn phải cài đặt bản cập nhật SHA-2 (KB4474419) ngày 23/09/2019 hoặc bản cập nhật SHA-2 mới hơn, rồi khởi động lại thiết bị trước khi áp dụng bản cập nhật này. Để biết thêm thông tin về các bản cập nhật SHA-2, hãy xem Yêu cầu Hỗ trợ Ký mã SHA-2 2019 cho Windows và WSUS.
-
Đối với Windows Server 2008 R2 SP1, bạn phải cài đặt bản cập nhật ngăn xếp dịch vụ (SSU) (KB4490628) được ghi ngày 12/03/2019. Sau khi đã cài đặt bản cập nhật KB4490628, chúng tôi khuyên bạn nên cài đặt bản cập nhật SSU mới nhất. Để biết thêm thông tin về bản cập nhật SSU mới nhất, hãy xem ADV990001 | Các bản cập nhật ngăn xếp Dịch vụ mới nhất.
-
Đối với Windows Server 2008 SP2, bạn phải cài đặt bản cập nhật ngăn xếp dịch vụ (SSU) (KB4493730) được ghi ngày 9/4/2019. Sau khi đã cài đặt KB4493730, chúng tôi khuyên bạn nên cài đặt bản cập nhật SSU mới nhất. Để biết thêm thông tin về các bản cập nhật SSU mới nhất, hãy xem ADV990001 | Các bản cập nhật ngăn xếp Dịch vụ mới nhất.
-
Khách hàng được yêu cầu mua Bản cập nhật Bảo mật Mở rộng (ESU) cho các phiên bản tại chỗ của Windows Server 2008 SP2 hoặc Windows Server 2008 R2 SP1 sau khi hỗ trợ mở rộng kết thúc vào ngày 14 tháng 1 năm 2020. Khách hàng đã mua ESU phải làm theo các thủ tục trong KB4522133 để tiếp tục nhận được các bản cập nhật bảo mật. Để biết thêm thông tin về ESU và những phiên bản được hỗ trợ, hãy xem KB4497181.
Quan trọng Bạn phải khởi động lại thiết bị của mình sau khi cài đặt các bản cập nhật cần thiết này.
Cài đặt bản cập nhật
Để giải quyết lỗ hổng bảo mật, hãy cài đặt các bản cập Windows và bật chế độ Thực thi bằng cách làm theo các bước sau.
Cảnh báo Các vấn đề về xác thực bị tiềm ẩn có thể xảy ra nếu các bản cập Windows này và giá trị sổ đăng ký được áp dụng không nhất hợp trong một hoặc cả hai kịch bản sau đây:
Quan trọng Cả hai Windows cập nhật và giá trị sổ đăng ký phải được áp dụng nhất quán trên TẤT CẢ các bộ điều khiển tên miền Active Directory trong môi trường của bạn. |
Bước 1: Cài đặt bản cập Windows Nhật
Cài đặt bản cập nhật Windows 08/12/2020 hoặc bản cập nhật Windows mới hơn cho tất cả các thiết bị lưu trữ vai trò bộ kiểm soát miền Active Directory trong rừng, bao gồm bộ điều khiển miền chỉ đọc.
Windows Server của bạn |
KB # |
Loại cập nhật |
Windows Server, phiên bản 20H2 (Cài đặt Cốt lõi Máy chủ) |
Cập nhật Bảo mật |
|
Windows Server, phiên bản 2004 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server, phiên bản 1909 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server, phiên bản 1903 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server 2019 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server 2019 |
Cập nhật Bảo mật |
|
Windows Server 2016 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server 2016 |
Cập nhật Bảo mật |
|
Windows Server 2012 R2 (Cài đặt Server Core) |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2012 R2 |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2012 (Cài đặt Server Core) |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2012 |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2008 R2 Gói Dịch vụ 1 |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2008 Gói Dịch vụ 2 |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
Bước 2: Bật chế độ Thực thi
Sau khi tất cả các thiết bị lưu trữ vai trò bộ kiểm soát miền Active Directory đã được cập nhật, hãy chờ ít nhất một ngày để cho phép tất cả các dịch vụ Tự động (S4U2) Kerberos hết hạn. Sau đó, bật bảo vệ đầy đủ bằng cách triển khai chế độ Thực thi. Để thực hiện điều này, hãy bật khóa đăng ký chế độ Thực thi.
Cảnh báo Các vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng cách bằng cách dùng Trình soạn thảo Sổ đăng ký hoặc bằng phương pháp khác. Những sự cố này có thể yêu cầu bạn phải cài đặt lại hệ điều hành. Microsoft không thể bảo đảm có thể giải quyết những vấn đề này. Bạn phải tự gặp rủi ro khi sửa đổi sổ đăng ký.
Chú ý Giá trị sổ đăng ký này không được tạo ra bằng cách cài đặt bản cập nhật này. Bạn phải thêm giá trị sổ đăng ký này theo cách thủ công.
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Giá trị |
NonForwardableDelegation |
Kiểu dữ liệu |
REG_DWORD |
Data |
1:Tắt chế độ thực thi. 0: Bật chế độ thực thi. Đây là trạng thái được bảo vệ. |
Mặc định |
1 |
Có bắt buộc phải Khởi động lại không? |
Không |
Ghi chú về giá trịsổ đăng ký"NonForwardableDelegation":
-
Nếu giá trị sổ đăng ký được đặt, giá trị đó sẽ được ưu tiên so với thiết đặt Chế độ thực thi được bao gồm trong bản cập nhật 09/03/2021 Windows Động.
-
Nếu giá trị sổ đăng ký được đặt thành 1 (Tắt), thì chuyển tiếp sẽ được cho phép trên vé dịch vụ Kerberos không được đánh dấu là có thể chuyển tiếp.
-
Nếu giá trị sổ đăng ký được đặt là 0 (Bật), thì tính năng chuyển tiếp SẼ KHÔNG được cho phép trên các vé dịch vụ Kerberos KHÔNG được đánh dấu là có thể chuyển tiếp.
-
-
Nếu miền của bạn bao gồm Windows Server 2008 R2 hoặc bộ kiểm soát miền Active Directory cũ hơn, bạn không phải đặt chế độ Thực thi vì những bộ điều khiển tên miền này không hỗ trợ RBCD.
-
Việc không cập nhật nhất quán tất cả bộ điều khiển tên miền Active Directory khi bật chế độ Thực thi sẽ dẫn đến thất bại trong việc ủy quyền dịch vụ bị thất bại.
-
Trước khi thiết đặt chế độ Thực thi:
-
Tất cả bộ kiểm soát miền Active Directory phải được cập nhật bản cập nhật ngày 8 tháng 12 năm 2020 Windows hoặc cập nhật Windows mới hơn và
-
Tất cả các vé dịch vụ S4USelf Kerberos tồn tại phải hết hạn bằng cách chờ một ngày sau khi hoàn thành việc triển khai bản cập nhật Windows cho tất cả bộ điều khiển tên miền Active Directory.
-
Những điều cần cân nhắc khác
Khi được bật chức năng bảo vệ này, nó sẽ không xác nhận lô-gic cho Ủy quyền Giới Resource-Based Ràng buộc (RBCD) với ủy quyền ràng buộc ban đầu. Điều này có thể gây ra các vấn đề trong hai kịch bản sau đây:
-
Một dịch vụ đơn đồng thời sử dụng Ủy quyền Kerberos Ràng buộc gốc (KCD) mà không cần chuyển tiếp giao thức đến một đích trong khi nó đang sử dụng RBCD với chuyển tiếp giao thức sang một dịch vụ khác. Sau thay đổi này, việc từ chối chuyển tiếp giao thức sẽ áp dụng cho cả hai kiểu ủy quyền.
-
RBCD được sử dụng trong miền sử dụng bộ kiểm soát miền không được cập nhật CVE-2020-16996 hoặc chạy các phiên bản cũ hơn của Windows Server (cũ hơn Window Server 2012) không có bản cập nhật sẵn dùng cho CVE-2020-16996. Trung tâm phân phối khóa (KDC) không được cập nhật sẽ không gắn cờ cho vé dịch vụ S4USelf Kerberos nếu như đối với việc chuyển tiếp ủy quyền và giao thức sẽ bị từ chối.