|
重要 本文前面提到之強制執行模式的日期已更改為 2021 年 3 月 9 日。 |
摘要
如果您使用受保護的使用者與資源型限制委派 (RBCD),Active Directory 網域控制站上可能存在安全性弱點。 若要深入了解安全性弱點,請參閱 CVE-2020-16996。
|
採取行動 為了保護您的環境和避免運作中斷,您必須執行下列各項:
|
更新時間
這些 Windows 更新會分成兩階段發行:
-
於 2020 年 12 月 8 日或之後發行的 Windows 更新,均屬於初始部署階段。
-
於 2021 年 3 月 9 日或之後發行的 Windows 更新,則屬於強制階段。
2020 年 12 月 8 日:初始部署階段
初始部署階段從 2020 年 12 月 8 日發行的 Windows 更新開始,一直延續到強制階段的較新 Windows 更新。 這些和較新的 Windows 更新都會對 Kerberos 進行變更。
此版本:
-
解決 CVE-2020-16996 (預設為停用)。
-
新增 NonForwardableDelegation 登錄值的支援,以在 Active Directory 網域控制站伺服器上啟用保護。 根據預設,此值不存在。
風險降低措施包含在所有主控 Active Directory 網域控制站角色和唯讀網域控制站 (RODC) 的裝置上安裝 Windows 更新,然後啟用強制模式。
2021 年 3 月 9 日:強制階段
2021 年 3 月 9 日版本可轉換為強制階段。 強制階段會強制執行可解決 CVE-2020-16996 的變更。 除非強制模式登錄機碼設定為 1 (已停用),否則 Active Directory 網域控制站現在都會處於強制 模式。 如果設定了強制模式登錄機碼,該設定便會生效。 進入強制模式後,需要所有 Active Directory 網域控制站都安裝 2020 年 12 月 8 日的更新或以後的更新。
安裝指引
安裝此更新之前
您必須先安裝下列必要更新,才能套用此更新。 如果使用 Windows Update,將會視需要自動提供這些必要更新。
-
必須安裝 2019 年 9 月 23 日發行的 SHA-2 更新 (KB4474419) 或更新版本的 SHA-2 更新,然後重新啟動您的裝置,然後再套用此更新。 如需有關 SHA-2 更新的詳細資訊,請參閱 2019 年 Windows 和 WSUS 的 SHA-2 程式碼簽署支援需求。
-
對於 Windows Server 2008 R2 SP1,必須安裝 2019 年 3 月 12 日發行的服務堆疊更新 (SSU) (KB4490628)。 安裝更新 KB4490628 後,建議您安裝最新的SSU 更新。 如需有關最新 SSU 更新的詳細資訊,請參閱 ADV990001 | 最新服務堆疊更新。
-
對於 Windows Server 2008 SP2,必須安裝 2019 年 4 月 9 日發行的服務堆疊更新 (SSU) (KB4493730)。 安裝更新 KB4493730 後,建議您安裝最新的 SSU 更新。 如需有關最新 SSU 更新的詳細資訊,請參閱 ADV990001 | 最新的服務堆疊更新。
-
在延伸支援於 2020 年 1 月 14 日終止後,客戶必須購買適用於 Windows Server 2008 SP2 或 Windows Server 2008 R2 SP1 內部部署版本的延伸安全性更新 (ESU)。 已購買 ESU 的客戶必須遵循 KB4522133 中的程序,才能繼續收到安全性更新。 如需 ESU 與支援哪些版本的詳細資訊,請參閱 KB4497181。
重要安裝這些必要更新後,必須重新啟動您的裝置。
安裝更新
若要解決安全性弱點,請按照下列步驟安裝 Windows 更新,並啟用強制模式。
|
警告 如果在下列其中一種或兩種情況下,套用的這些 Windows 更新與登錄值不一致時,可能會發生間歇驗證問題:
重要: 務必要在您環境中的所有 Active Directory 網域控制站上,一致套用 Windows 更新與登錄值。 |
步驟 1:安裝 Windows 更新
針對主控樹系中 Active Directory 網域控制站角色 (包括唯讀網域控制站) 的所有裝置,安裝 2020 年 12 月 8 日的 Windows 更新或以後的 Windows 更新。
|
Windows Server 產品 |
KB # |
更新類型 |
|
Windows Server 20H2 版 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 2004 版 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 1909 版 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 1903 版 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 2019 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 2019 |
安全性更新 |
|
|
Windows Server 2016 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 2016 |
安全性更新 |
|
|
Windows Server 2012 R2 (Server Core 安裝) |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2012 R2 |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2012 (Server Core 安裝) |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2012 |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2008 R2 Service Pack 1 |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2008 Service Pack 2 |
每月彙總套件 |
|
|
僅限安全性 |
步驟 2:啟用 Enforcement 模式
完成更新所有主控 Active Directory 網域控制站角色的裝置後,至少靜候一整天,讓所有流通在外的 Service for User to Self (S4U2self) Kerberos 服務票證到期。 然後,透過部署強制模式啟用全面保護。 若要執行此動作,請啟用強制模式登錄機碼。
警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。 您可能需要重新安裝作業系統才能解決這些問題。 Microsoft 不保證可以解決這些問題。 請自行承擔修改登錄的一切風險。
附註: 安裝此更新並不會建立此登錄值。 必須手動新增此登錄值。
|
登錄子機碼 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
值 |
NonForwardableDelegation |
|
資料類型 |
REG_DWORD |
|
資料 |
1:停用強制模式。 0:啟用強制模式。 這是受保護的狀態。 |
|
預設值 |
1 |
|
是否需要重新開機? |
否 |
請記下 " NonForwardableDelegation" 登錄值。
-
如果設定了登錄值,則其優先順序高於 2021 年 3 月 9 日 Windows 更新中包含的強制模式設定。
-
如果登錄值設定為 1 (停用),即允許轉寄「未」標示為可轉寄的服務票證。
-
如果登錄值設定為 0 (停用),即「不」允許轉寄「未」標示為可轉寄的服務票證。
-
-
如果網域包含 Windows Server 2008 R2 或舊版 Active Directory 網域控制站,則不必設定強制模式,因為這些網域控制站不支援 RBCD。
-
啟用強制模式時,若無法一致地更新所有 Active Directory 網域控制站,則會導致間歇發生服務委派失敗。
-
設定強制模式前:
-
所有 Active Directory 網域控制站都必須使用 2020 年 12 月 8 日的 Windows 更新或以後的 Windows 更新進行更新,並且
-
完成對所有 Active Directory 網域控制站部署 Windows 更新之後,務必靜候一天,讓所有流通在外的 S4USelf Kerberos 服務票證逾期。
-
其他考量
啟用此保護時會統一資源型限制委派 (RBCD) 與原始限制委派的邏輯。 這在下列兩種情況下可能會導致發生問題:
-
單一服務同時使用不會將通訊協定轉換為一個目標的原始 Kerberos 限制委派 (KCD),以及使用會將通訊協定轉換為另一個目標的 RBCD。 在此變更之後,兩種委派模式都將拒絕通訊協定轉換。
-
使用 RBCD 的網域中所使用的網域控制站未更新 CVE-2020-16996,或執行沒有 CVE-2020-16996 可用更新的舊版 Windows Server (Window Server 2012 以前的版本) 。 未經過更新的金鑰發佈中心 (KDC) 不會將 S4USelf Kerberos 服務票證標示為可供委派,並會拒絕通訊協定轉換。
