Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

محدّث 20 مارس 2023 - قسم التوفر

الملخص

البروتوكول البعيد لنموذج عنصر المكونات الموزعة (DCOM) هو بروتوكول لعرض عناصر التطبيق باستخدام استدعاءات الإجراء عن بعد (RPCs). يتم استخدام DCOM للاتصال بين مكونات البرامج للأجهزة المتصلة بالشبكة. كانت التغييرات المتصلبة في DCOM مطلوبة ل CVE-2021-26414. لذلك، نوصي بالتحقق مما إذا كانت تطبيقات العميل أو الخادم في بيئتك التي تستخدم DCOM أو RPC تعمل كما هو متوقع مع تمكين التغييرات المتصلبة.

‏ملاحظة نوصي بشدة بتثبيت آخر تحديث أمان متوفر. وهي توفر حماية متقدمة من أحدث التهديدات الأمنية. كما أنها توفر القدرات التي أضفناها لدعم الترحيل. لمزيد من المعلومات والسياق حول كيفية تقوية DCOM، راجع تقوية مصادقة DCOM: ما تحتاج إلى معرفته.

تم إصدار المرحلة الأولى من تحديثات DCOM في 8 يونيو 2021. في هذا التحديث، تم تعطيل تصلب DCOM بشكل افتراضي. يمكنك تمكينها عن طريق تعديل السجل كما هو موضح في قسم "إعداد التسجيل لتمكين تغييرات تقوية أو تعطيلها" أدناه. تم إصدار المرحلة الثانية من تحديثات DCOM في 14 يونيو 2022. غير ذلك التصلب إلى ممكن بشكل افتراضي ولكنه احتفظ بالقدرة على تعطيل التغييرات باستخدام إعدادات مفتاح التسجيل. سيتم إصدار المرحلة الأخيرة من تحديثات DCOM في مارس 2023. سيحافظ على تمكين تصلب DCOM وإزالة القدرة على تعطيله.

اليوميات

تحديث الإصدار

تغيير السلوك

8 يونيو 2021

إصدار المرحلة 1 - تعطيل تصلب التغييرات بشكل افتراضي ولكن مع القدرة على تمكينها باستخدام مفتاح التسجيل.

14 يونيو 2022

إصدار المرحلة 2 - تمكين التغييرات بشكل افتراضي ولكن مع القدرة على تعطيلها باستخدام مفتاح التسجيل.

14 مارس 2023

إصدار المرحلة 3 - تمكين التغييرات بشكل افتراضي دون القدرة على تعطيلها. في هذه المرحلة، يجب عليك حل أي مشكلات توافق مع التغييرات والتطبيقات المتصلبة في بيئتك.

اختبار توافق تقوية DCOM

أحداث خطأ DCOM جديدة

لمساعدتك في تحديد التطبيقات التي قد تواجه مشكلات في التوافق بعد تمكين تغييرات تصلب أمان DCOM، أضفنا أحداث خطأ DCOM جديدة في سجل النظام. راجع الجداول أدناه. سيقوم النظام بتسجيل هذه الأحداث إذا اكتشف أن تطبيق عميل DCOM يحاول تنشيط خادم DCOM باستخدام مستوى مصادقة أقل من RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. يمكنك التتبع إلى جهاز العميل من سجل الأحداث من جانب الخادم واستخدام سجلات الأحداث من جانب العميل للعثور على التطبيق.

أحداث الخادم - الإشارة إلى أن الخادم يتلقى طلبات ذات مستوى أدنى

معرف الحدث

رسالة

10036

"لا يسمح نهج مستوى المصادقة من جانب الخادم للمستخدم ٪1\٪2 SID (٪3) من العنوان ٪4 بتنشيط خادم DCOM. يرجى رفع مستوى مصادقة التنشيط على الأقل إلى RPC_C_AUTHN_LEVEL_PKT_INTEGRITY في تطبيق العميل."

(٪1 – المجال، ٪2 – اسم المستخدم، ٪3 – معرف أمان المستخدم، ٪4 – عنوان IP للعميل)

أحداث العميل – الإشارة إلى التطبيق الذي يرسل طلبات ذات مستوى أدنى

معرف الحدث

رسالة

10037

"يطلب التطبيق ٪1 مع PID ٪2 تنشيط CLSID ٪3 على الكمبيوتر ٪4 مع تعيين مستوى المصادقة بشكل صريح عند ٪5. أدنى مستوى مصادقة التنشيط المطلوب من قبل DCOM هو 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). لرفع مستوى مصادقة التنشيط، يرجى الاتصال بمورد التطبيق."

10038

"يطلب التطبيق ٪1 مع PID ٪2 تنشيط CLSID ٪3 على الكمبيوتر ٪4 مع مستوى مصادقة التنشيط الافتراضي عند ٪5. أدنى مستوى مصادقة التنشيط المطلوب من قبل DCOM هو 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). لرفع مستوى مصادقة التنشيط، يرجى الاتصال بمورد التطبيق."

(٪1 – مسار التطبيق، ٪2 – معرف التعريف الشخصي للتطبيق، ٪3 – CLSID لفئة COM التي يطلب التطبيق تنشيطها، ٪4 – اسم الكمبيوتر، ٪5 – قيمة مستوى المصادقة)

التوفر

لا تتوفر أحداث الخطأ هذه إلا لمجموعة فرعية من إصدارات Windows؛ انظر الجدول أدناه.

إصدار Windows

متوفر في هذه التواريخ أو بعدها

Windows Server 2022

27 سبتمبر 2021

KB5005619

Windows 10، الإصدار 2004، Windows 10، الإصدار 20H2، Windows 10، الإصدار 21H1

1 سبتمبر 2021

KB5005101

الإصدار 1909 من Windows 10

26 أغسطس 2021

KB5005103

Windows Server 2019، Windows 10، الإصدار 1809

26 أغسطس 2021

KB5005102

Windows Server 2016، Windows 10، الإصدار 1607

14 سبتمبر 2021

KB5005573

Windows Server 2012 R2 و Windows 8.1

12 أكتوبر 2021

KB5006714

Windows 11، الإصدار 22H2

30 سبتمبر 2022

KB5017389

تصحيح رفع الطلب التلقائي من جانب العميل

مستوى المصادقة لجميع طلبات التنشيط غير المجهولة

للمساعدة في تقليل مشكلات توافق التطبيقات، قمنا تلقائيا برفع مستوى المصادقة لجميع طلبات التنشيط غير المجهولة من عملاء DCOM المستندين إلى Windows إلى RPC_C_AUTHN_LEVEL_PKT_INTEGRITY كحد أدنى. مع هذا التغيير، سيتم قبول معظم طلبات عميل DCOM المستندة إلى Windows تلقائيا مع تمكين تغييرات تقوية DCOM على جانب الخادم دون أي تعديل آخر على عميل DCOM. بالإضافة إلى ذلك، سيعمل معظم عملاء Windows DCOM تلقائيا مع تغييرات تقوية DCOM على جانب الخادم دون أي تعديل آخر على عميل DCOM.

‏ملاحظة سيستمر تضمين هذا التصحيح في التحديثات التراكمية.

المخطط الزمني لتحديث التصحيح

منذ الإصدار الأولي في نوفمبر 2022، كان تصحيح الترقية التلقائية يحتوي على بعض التحديثات.

  • تحديث نوفمبر 2022

    • رفع هذا التحديث تلقائيا مستوى مصادقة التنشيط إلى تكامل الحزمة. تم تعطيل هذا التغيير بشكل افتراضي على Windows Server 2016 وWindows server 2019.

  • تحديث ديسمبر 2022

    • تم تمكين تغيير نوفمبر بشكل افتراضي ل Windows Server 2016 وWindows Server 2019.

    • تناول هذا التحديث أيضا مشكلة أثرت على التنشيط المجهول على Windows Server 2016 وWindows Server 2019.

  • تحديث يناير 2023

    • تناول هذا التحديث مشكلة أثرت على التنشيط المجهول على الأنظمة الأساسية من Windows Server 2008 إلى Windows 10 (إصدار أولي تم إصداره في يوليو 2015).

إذا قمت بتثبيت تحديثات الأمان التراكمية اعتبارا من يناير 2023 على العملاء والخوادم، فسيتم تمكين أحدث تصحيح رفع تلقائي بالكامل.

إعداد التسجيل لتمكين تغييرات التصلب أو تعطيلها

أثناء مراحل المخطط الزمني التي يمكنك فيها تمكين أو تعطيل تغييرات التصلب ل CVE-2021-26414، يمكنك استخدام مفتاح التسجيل التالي:

  • المسار: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • اسم القيمة: "RequireIntegrityActivationAuthenticationLevel"

  • النوع: dword

  • بيانات القيمة: افتراضي= يعني 0x00000000 معطلا. يعني 0x00000001 تمكين. إذا لم يتم تعريف هذه القيمة، فسيتم تمكينها افتراضيا.

ملاحظه يجب إدخال بيانات القيمة بتنسيق سداسي عشري.

هام يجب إعادة تشغيل جهازك بعد تعيين مفتاح التسجيل هذا حتى يصبح ساري المفعول.

‏ملاحظة سيؤدي تمكين مفتاح التسجيل أعلاه إلى جعل خوادم DCOM تفرض Authentication-Level من RPC_C_AUTHN_LEVEL_PKT_INTEGRITY أو أعلى للتنشيط. لا يؤثر هذا على التنشيط المجهول (التنشيط باستخدام مستوى المصادقة RPC_C_AUTHN_LEVEL_NONE). إذا كان خادم DCOM يسمح بالتنشيط المجهول، فسيظل مسموحا به حتى مع تمكين تغييرات تقوية DCOM.

‏ملاحظة قيمة التسجيل هذه غير موجودة بشكل افتراضي؛ يجب عليك إنشائه. سيقوم Windows بقراءته إذا كان موجودا ولن يقوم بالكتابة فوقه.

‏ملاحظة لن يؤدي تثبيت التحديثات اللاحقة إلى تغيير إدخالات السجل والإعدادات الموجودة أو إزالتها.

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.