Quan trọng: Các ngày phát hành trước đó được chỉ báo trong bài viết này đã thay đổi. Vui lòng lưu ý các ngày phát hành mới trong các phần "có hành động" và "thời gian của các bản cập nhật Windows này".
Tóm tắt
Tính năng bảo mật bỏ qua lỗ hổng bảo mật tồn tại trong cách Trung tâm phân phối then chốt (KDC) quyết định có thể sử dụng vé Dịch vụ Kerberos cho ủy quyền thông qua ủy quyền của Kerberos (kcd). Để khai thác lỗ hổng, một dịch vụ bị xâm phạm được cấu hình để sử dụng KCD có thể làm xáo trộn một vé Dịch vụ Kerberos không hợp lệ cho ủy quyền để buộc KDC chấp nhận. Các địa chỉ Windows Cập nhật này dễ bị thay đổi cách KDC xác nhận vé Dịch vụ Kerberos được dùng với KCD.
Để tìm hiểu thêm về lỗ hổng này, hãy xem mục c-2020-17049.
|
Thực hiện hành động Để bảo vệ môi trường của bạn và ngăn ngừa Cúp, bạn phải thực hiện theo tất cả các bước sau:
|
Thời gian của các bản cập nhật Windows này
Những bản cập nhật Windows này sẽ được phát hành trong ba giai đoạn:
-
Giai đoạn triển khai ban đầu cho các bản cập nhật Windows được phát hành vào hoặc sau ngày 8 tháng 12, 2020.
-
Giai đoạn triển khai thứ hai giúp loại bỏ thiết đặt Performticketsignature0 và yêu cầu có thiết đặt 1 hoặc 2, bật hoặc sau ngày 13 tháng 4, 2021.
-
Giai đoạn thực thi cho các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 7, 2021.
Ngày 8 tháng 12, 2020: giai đoạn triển khai ban đầu
Giai đoạn triển khai ban đầu bắt đầu với Windows Update được phát hành vào ngày 8 tháng 12, 2020 và tiếp tục sử dụng Windows Update sau này cho giai đoạn thực thi. Các bản cập nhật Windows sau đây và sau này sẽ thực hiện thay đổi cho Kerberos. Điều này 8 tháng 12, 2020 Cập Nhật bao gồm các bản sửa lỗi cho tất cả các sự cố đã biết ban đầu được giới thiệu bởi bản phát hành ngày 10 tháng mười một 2020 của CPC-2020-17049. Bản cập nhật này cũng thêm hỗ trợ cho Windows Server 2008 SP2 và Windows Server 2008 R2.
Bản phát hành này:
-
Địa chỉ CPC-2020-17049 (trong chế độ triển khai theo mặc định).
-
Thêm hỗ trợ cho giá trị đăng ký Performticketsignature để cho phép bảo vệ trên máy chủ điều khiển tên miền Active Directory. Theo mặc định, giá trị này không tồn tại.
Giảm nhẹ bao gồm việc cài đặt các bản cập nhật Windows trên tất cả các thiết bị lưu trữ vai trò điều khiển miền Active Directory và bộ kiểm soát tên miền chỉ đọc (RODCs), rồi bật chế độ thực thi.
13 tháng 4, 2021: giai đoạn triển khai thứ hai
Giai đoạn triển khai thứ hai bắt đầu với bản cập nhật Windows được phát hành vào 13/04/2017, 2021. Giai đoạn này sẽ loại bỏ thiết đặt Performticketsignature0. Thiết đặt performticketsignature thành 0 sau khi cài đặt bản cập nhật này sẽ có hiệu ứng tương tự như đặt performticketsignature thành 1. Định vị sẽ ở chế độ triển khai.
Lưu ý́
-
Giai đoạn này không cần thiết nếu Performticketsignature không bao giờ được đặt là 0 trong môi trường của bạn. Giai đoạn này giúp đảm bảo rằng khách hàng đặt Performticketsignature thành 0 sẽ được di chuyển để thiết lập 1 trước khi giai đoạn thực thi .
-
Với việc triển khai ngày 13 tháng 4, 2021 Cập Nhật, đặt Performticketsignature thành 1 sẽ cho phép vé Dịch vụ được tái tạo. Đây là một thay đổi trong hành vi từ bản Cập Nhật 2021 Windows tháng tư trước khi thiết đặt Performticketsignature thành 1 vé máy dịch vụ mà không được tái tạo.
-
Bản cập nhật này giả định rằng tất cả các bộ điều khiển tên miền được Cập Nhật với các bản Cập Nhật 08 tháng 12, 2020 hoặc các bản Cập Nhật sau này.
-
Sau khi cài đặt bản cập nhật này, và theo cách thủ công hoặc theo chương trình thiết đặt Performticketsignature thành 1 hoặc cao hơn, không được hỗ trợ bộ điều khiển miền Windows Server sẽ không còn hoạt động với bộ điều khiển tên miền được hỗ trợ. Điều này bao gồm Windows Server 2008 và Windows Server 2008 R2 mà không cần mở rộng các bản Cập Nhật bảo mật (ESU) và Windows Server 2003.
13 tháng 7, 2021: giai đoạn thực thi
Ngày 13 tháng 7, 2021 phát hành các chuyển tiếp vào giai đoạn thực thi. Giai đoạn thực thi pháp đổi các thay đổi đối với địa chỉ CPC-2020-17049. Bộ điều khiển tên miền Active Directory hiện đang có khả năng chế độ thực thi. Đi đến chế độ thực thi yêu cầu phải có tất cả các bộ điều khiển miền Active Directory có bản Cập Nhật ngày 8 tháng 12, 2020 hoặc Windows Update sau đó đã được cài đặt. Tại thời điểm này, các thiết đặt khóa đăng ký Performticketsignature sẽ bị bỏ qua và không thể ghi đè chế độ thực thi.
Hướng dẫn cài đặt
Trước khi cài đặt bản cập nhật này
Bạn phải có các bản Cập Nhật bắt buộc sau được cài đặt trước khi áp dụng bản cập nhật này. Nếu bạn sử dụng Windows Update, các bản Cập Nhật bắt buộc này sẽ được tự động cung cấp khi cần.
-
Bạn phải có bản Cập Nhật SHA-2 (KB4474419) là ngày 23 tháng 9, 2019 hoặc một phiên bản Cập Nhật Sha-2 sau đó được cài đặt, rồi khởi động lại thiết bị của bạn trước khi bạn áp dụng bản cập nhật này. Để biết thêm thông tin về các bản Cập Nhật SHA-2, hãy xem 2019 Sha-2, yêu cầu hỗ trợ ký mã cho Windows và WSUS.
-
Đối với Windows Server 2008 R2 SP1, bạn phải cài đặt bản Cập Nhật stack phục vụ (SSU) (KB4490628) là ngày 12 tháng 3, 2019. Sau khi Cập Nhật KB4490628 được cài đặt, chúng tôi khuyên bạn nên cài đặt bản Cập Nhật ssu mới nhất. Để biết thêm thông tin về bản Cập Nhật SSU mới nhất, hãy xem ADV990001 | Các bản Cập Nhật xếp chồng phục vụ mới nhất.
-
Đối với Windows Server 2008 SP2, bạn phải cài đặt bản Cập Nhật stack phục vụ (SSU) (KB4493730) là ngày 9 tháng 4, 2019. Sau khi Cập Nhật KB4493730 được cài đặt, chúng tôi khuyên bạn nên cài đặt bản Cập Nhật ssu mới nhất. Để biết thêm thông tin về các bản Cập Nhật SSU mới nhất, hãy xem ADV990001 | Các bản Cập Nhật xếp chồng phục vụ mới nhất.
-
Khách hàng bắt buộc phải mua bản Cập Nhật bảo mật mở rộng (ESU) cho các phiên bản tại chỗ của Windows Server 2008 SP2 hoặc Windows Server 2008 R2 SP1 sau khi hỗ trợ mở rộng kết thúc vào ngày 14 tháng 1, 2020. Những khách hàng đã mua ESU phải tuân theo các thủ tục trong KB4522133 để tiếp tục nhận các bản Cập Nhật bảo mật. Để biết thêm thông tin về ESU và những phiên bản nào được hỗ trợ, hãy xem KB4497181.
Quan trọng Bạn phải khởi động lại thiết bị của bạn sau khi cài đặt các bản Cập Nhật bắt buộc này.
Cài đặt tất cả các bản Cập Nhật
Để giải quyết các lỗ hổng bảo mật, hãy cài đặt tất cả các bản cập nhật Windows và bật chế độ thực thi bằng cách làm theo các bước sau đây:
-
Triển khai ít nhất một trong các bản Cập Nhật từ từ ngày 8 tháng 12, 2020 đến ngày 9 tháng 3, 2021 đến tất cả các bộ điều khiển tên miền Active Directory trong rừng.
-
Triển khai 12 tháng 4, 2021 Cập Nhật ít nhất một hoặc nhiều tuần sau khi bước 1.
-
Sau khi tất cả các điều khiển miền Active Directory đã được Cập Nhật, Hãy chờ ít nhất một tuần đầy đủ để cho phép tất cả các dịch vụ xuất sắc cho người dùng tự động (S4U2self) dịch vụ Kerberos hết hạn và sau đó có thể được kích hoạt bằng cách triển khai chế độ thực thi điều khiển tên miền Active Directory.
Boy-
Nếu bạn đã sửa đổi các lần hết hạn vé Dịch vụ Kerberos từ thiết đặt mặc định (mặc định là 7 ngày), thì bạn phải chờ ít nhất là số ngày như được đặt cấu hình trong môi trường của bạn.
-
Những bước này giả định rằng Performticketsignature chưa bao giờ được đặt là 0 trong môi trường của bạn. Nếu Performticketsignature đã được đặt là 0, bạn phải di chuyển đến thiết lập 1 trước khi di chuyển đến thiết đặt 2 (chế độ thực thi) và chờ ít nhất một tuần để cho phép tất cả dịch vụ xuất sắc cho người dùng tự động (S4U2self) dịch vụ Kerberos hết hạn. Bạn không nên di chuyển trực tiếp từ thiết đặt 0 để đặt 2 (chế độ thực thi).
-
Bước 1: cài đặt bản cập nhật Windows
Cài đặt thích hợp 8 tháng 12, 2020 Windows Update hoặc Windows Update sau này cho tất cả các thiết bị lưu trữ vai trò điều khiển miền Active Directory trong rừng, bao gồm bộ kiểm soát tên miền chỉ đọc.
|
Sản phẩm Windows Server |
KB # |
Loại bản Cập Nhật |
|
Windows Server, phiên bản 20H2 (bản cài đặt lõi máy chủ) |
Bản Cập Nhật bảo mật |
|
|
Windows Server, phiên bản 2004 (cài đặt máy chủ lõi) |
Bản Cập Nhật bảo mật |
|
|
Windows Server, phiên bản 1909 (cài đặt máy chủ lõi) |
Bản Cập Nhật bảo mật |
|
|
Windows Server, phiên bản 1903 (cài đặt máy chủ lõi) |
Bản Cập Nhật bảo mật |
|
|
Windows Server 2019 (bản cài đặt lõi máy chủ) |
Bản Cập Nhật bảo mật |
|
|
Windows Server 2019 |
Bản Cập Nhật bảo mật |
|
|
Windows Server 2016 (bản cài đặt lõi máy chủ) |
Bản Cập Nhật bảo mật |
|
|
Windows Server 2016 |
Bản Cập Nhật bảo mật |
|
|
Windows Server 2012 R2 (bản cài đặt máy chủ lõi) |
Rollup hàng tháng |
|
|
Chỉ bảo mật |
||
|
Windows Server 2012 R2 |
Rollup hàng tháng |
|
|
Chỉ bảo mật |
||
|
Windows Server 2012 (bản cài đặt lõi máy chủ) |
Rollup hàng tháng |
|
|
Chỉ bảo mật |
||
|
Windows Server 2012 |
Rollup hàng tháng |
|
|
Chỉ bảo mật |
||
|
Windows Server 2008 R2 gói dịch vụ 1 |
Rollup hàng tháng |
|
|
Chỉ bảo mật |
||
|
Windows Server 2008 Gói Dịch vụ 2 |
Rollup hàng tháng |
|
|
Chỉ bảo mật |
Bước 2: bật chế độ thực thi
Sau khi tất cả các thiết bị lưu trữ vai trò điều khiển miền Active Directory đã được Cập Nhật, Hãy chờ ít nhất một tuần đầy đủ để cho phép tất cả các vé Dịch vụ S4U2self Kerberos xuất sắc đến hết hạn. Sau đó, cho phép bảo vệ toàn bộ bằng cách triển khai chế độ thực thi. Để thực hiện điều này, hãy bật khóa đăng ký chế độ thực thi.
Cảnh báo Các vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi không chính xác bằng cách sử dụng trình soạn thảo sổ đăng ký hoặc bằng cách sử dụng phương pháp khác. Những vấn đề này có thể yêu cầu bạn cài đặt lại hệ điều hành. Microsoft không thể đảm bảo rằng những vấn đề này có thể được giải quyết. Sửa đổi sổ đăng ký có nguy cơ của riêng bạn.
Lưu ý Bản cập nhật này giới thiệu hỗ trợ cho giá trị sổ đăng ký sau đây để bật chế độ thực thi. Giá trị sổ đăng ký này không được tạo bằng cách cài đặt bản cập nhật này. Bạn phải thêm giá trị sổ đăng ký này theo cách thủ công.
|
Khóa phụ của sổ đăng ký |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
Đáng |
PerformTicketSignature |
|
Kiểu dữ liệu |
REG_DWORD |
|
Data |
1: cho phép chế độ triển khai. Bản sửa lỗi được bật trên bộ điều khiển tên miền, nhưng điều khiển miền Active Directory không yêu cầu phải có dịch vụ Kerberos vé phù hợp với bản sửa lỗi. Chế độ này thêm hỗ trợ cho chữ ký bán vé trên bộ điều khiển tên miền được cập nhật của 2020-17049 nhưng các bộ điều khiển tên miền không yêu cầu phải có vé để đăng nhập. Điều này cho phép kết hợp giai đoạn triển khai ban đầu (được Cập Nhật vào bản Cập Nhật triển khai ban đầu tháng mười hai) và bộ kiểm soát miền được Cập Nhật để cùng tồn tại. Với tất cả các bộ điều khiển tên miền được Cập Nhật và đặt sẵn 1, tất cả vé mới sẽ được ký. Trong chế độ này, vé mới sẽ được đánh dấu là tính năng tái tạo. 2: cho phép chế độ áp dụng điều này cho phép khắc phục sự cố trong chế độ bắt buộc mà tất cả các miền phải được Cập Nhật và tất cả các bộ điều khiển tên miền Active Directory yêu cầu phải có các vé Dịch vụ Kerberos với chữ ký. Với thiết đặt này, tất cả vé phải được đăng nhập để được xem xét hợp lệ. Trong chế độ này, vé lại sẽ được đánh dấu là tính năng tái tạo. 0: không được đề xuất. Tắt chữ ký của dịch vụ Kerberos và các tên miền của bạn không được bảo vệ. Quan Đặt 0 không tương thích với thiết đặt thực thi 2. Lỗi xác thực liên tục có thể xảy ra nếu chế độ thực thi được áp dụng giai đoạn sau đó trong khi tên miền được đặt là 0. Chúng tôi đề xuất khách hàng để di chuyển đến thiết lập 1 trước khi giai đoạn thực thi (ít nhất một tuần trước khi áp dụng việc thực thi). |
|
Mặc định |
1 (khi không đặt khóa đăng ký) |
|
Bạn có cần khởi động lại không? |
Không |
