|
重要说明 本文前面提到的强制模式的日期已更改为 2021 年 3 月 9 日。 |
摘要
如果使用受保护用户 和基于资源的约束委派 (RBCD), 则 Active Directory 域控制器上可能存在安全漏洞。 要了解有关此安全漏洞的更多信息,请参阅 CVE-2020-16996。
|
采取操作 为了保护环境并防止中断,必须执行以下操作:
|
更新时间
这些 Windows 更新将分两个阶段发布:
-
2020 年 12 月 8 日或之后发布 Windows 更新后开始初始部署阶段。
-
2021 年 3 月 9 日或之后发布的 Windows 更新的执行阶段。
2020 年 12 月 8 日:初始部署阶段
2020 年 12 月 8 日发布 Windows 更新后开始初始部署阶段,发布后续 Windows 更新后开始强制执行阶段。 这些以及后续 Windows 更新促成了 Kerberos 变更。
该版本:
-
解决 CVE-2020-16996(默认情况下禁用)。
-
添加对 NonForwardableDelegation 注册表值的支持,以在 Active Directory 域控制器服务器上启用保护。 默认情况下,此值不存在。
缓解措施包括在托管 Active Directory 域控制器角色和只读域控制器 (RODC) 的所有设备上安装 Windows 更新,然后启用强制模式。
2021 年 3 月 9 日:执行阶段
2021 年 3 月 9 日版本过渡到执行阶段。 强制阶段会强制进行更改以解决 CVE-2020-16996。 Active Directory 域控制器现在将处于“强制”模式,除非强制模式注册表项设置为 1(已禁用)。 如果设置了“强制”模式注册表项,则将采用该设置。 “强制”模式要求所有 Active Directory 域控制器都安装了 2020 年 12 月 8 日更新或更高版本的更新。
安装指南
安装此更新前
应用此更新之前,您必须安装以下必需的更新项。 如果您使用 Windows Update,则会根据需要自动提供这些必需的更新项。
-
在应用此更新之前,必须安装日期为 2019 年 9 月 23 日的 SHA-2 更新 (KB4474419) 或更高版本的 SHA-2 更新,然后重新启动设备。 有关 SHA-2 更新的更多信息,请参阅针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求。
-
对于 Windows Server 2008 R2 SP1,必须安装日期为 2019 年 3 月 12 日的服务堆栈更新 (SSU) (KB4490628)。 更新 KB4490628 安装完成后,我们建议安装最新的 SSU 更新。 有关最新 SSU 更新的更多信息,请参阅 ADV990001 | 最新服务堆栈更新。
-
对于 Windows Server 2008 SP2,必须安装日期为 2019 年 4 月 9 日的服务堆栈更新 (SSU) (KB4493730)。 更新 KB4493730 安装完成后,我们建议安装最新的 SSU 更新。 有关最新 SSU 更新的详细信息,请参阅 ADV990001 | 最新的服务堆栈更新。
-
2020 年 1 月 14 日扩展支持到期后,客户需要购买本地版 Windows Server 2008 SP2 或 Windows Server 2008 R2 SP1 的扩展安全更新 (ESU)。 购买了 ESU 的客户必须遵循 KB4522133 中的步骤,才能继续接收安全更新。 有关 ESU 及受支持版本的更多信息,请参阅 KB4497181。
重要说明安装这些必需的更新后,必须重启系统。
安装更新
若要解决安全漏洞,请按照以下步骤安装 Windows 更新并启用“强制”模式。
|
警告 如果这些 Windows 更新和注册表值在以下一种或两种情况下应用不一致,则可能会发生间歇性身份验证问题:
重要说明 Windows 更新和注册表值必须一致地应用于环境中的所有 Active Directory 域控制器。 |
步骤 1:安装 Windows 更新
将 2020 年 12 月 8 日或随后的 Windows 更新安装到林中托管 Active Directory 域控制器角色的所有设备上,包括只读域控制器。
|
Windows Server 产品 |
KB # |
更新类型 |
|
Windows Server 版本 20H2(服务器核心安装) |
安全更新 |
|
|
Windows Server 版本 2004(服务器核心安装) |
安全更新 |
|
|
Windows Server 版本 1909(服务器核心安装) |
安全更新 |
|
|
Windows Server 版本 1903(服务器核心安装) |
安全更新 |
|
|
Windows Server 2019 (服务器核心安装) |
安全更新 |
|
|
Windows Server 2019 |
安全更新 |
|
|
Windows Server 2016(服务器核心安装) |
安全更新 |
|
|
Windows Server 2016 |
安全更新 |
|
|
Windows Server 2012 R2(服务器核心安装) |
月度汇总 |
|
|
仅安全相关 |
||
|
Windows Server 2012 R2 |
月度汇总 |
|
|
仅安全相关 |
||
|
Windows Server 2012(服务器核心安装) |
月度汇总 |
|
|
仅安全相关 |
||
|
Windows Server 2012 |
月度汇总 |
|
|
仅安全相关 |
||
|
Windows Server 2008 R2 Service Pack 1 |
月度汇总 |
|
|
仅安全相关 |
||
|
Windows Server 2008 Service Pack 2 |
月度汇总 |
|
|
仅安全相关 |
步骤 2:启用强制模式
更新所有承载 Active Directory 域控制器角色的设备后,至少等待一整天,以允许用户自行 (S4U2self) Kerberos 服务票证过期。 然后,通过部署强制模式启用完全保护。 为此,请启用“强制”模式注册表项。
警告 使用注册表编辑器或其他方法修改注册表不当可能会出现严重问题。 这些问题可能需要您重新安装操作系统。 Microsoft 不能保证可解决这些问题。 请自行承担修改注册表的风险。
备注 不通过安装此更新创建此注册表值。 你必须手动添加此注册表值。
|
注册表子项 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
值 |
NonForwardableDelegation |
|
数据类型 |
REG_DWORD |
|
数据 |
1:禁用强制模式。 0:启用强制模式。 这是受保护的状态。 |
|
默认为 |
1 |
|
是否需要重启? |
否 |
关于 " NonForwardableDelegation" 注册表值的说明:
-
如果设置了注册表值,它将优先于 2021 年 3 月 9 日 Windows 更新中包含的强制模式设置。
-
如果注册表值设置为 1(已禁用),则允许在未标记为可转发的 Kerberos 服务票证上转发。
-
如果注册表值设置为 0(已禁用),则不允许在未标记为可转发的 Kerberos 服务票证上转发。
-
-
如果你的域包含 Windows Server 2008 R2 或更低版本的 Active Directory 域控制器,则不必设置“强制”模式,因为这些域控制器不支持 RBCD。
-
启用“强制”模式时未能一致地更新所有 Active Directory 域控制器将导致间歇性服务委派失败。
-
设置“强制”模式之前:
-
所有 Active Directory 域控制器都必须使用 2020 年 12 月 8 日 Windows 更新或更高版本的 Windows 更新进行更新,并且
-
在完成所有 Active Directory 域控制器的 Windows 更新部署后一天,所有未完成的 S4USelf Kerberos 服务票证必须已过期。
-
其他注意事项
启用此保护时,它将基于资源的约束委派 (RBCD) 的逻辑与原始约束委派统一。 这可能会在以下两种情况下导致问题:
