Обобщена информация
Актуализациите от 13 юли 2021 г. Windows и по-Windows актуализации добавят защити за CVE-2021-33757.
След инсталирането на актуализациите на Windows 13 юли 2021 г. или по-нови актуализации на Windows шифроването ще бъде предпочитаният метод за шифроване на клиенти на Windows, когато се използва наследения протокол MS-SAMR за операции с пароли, ако AES шифроването се поддържа от SAM сървъра. Ако AES шифроването не се поддържа от SAM сървъра, ще бъде разрешено връщане към наследеното шифроване на RC4.
Промените в CVE-20201-33757 са специфични за протокола MS-SAMR и са независими от другите протоколи за удостоверяване. MS-SAMR използва SMB над RPC и наименувани тръби. Въпреки че SMB също поддържа шифроване, то не е разрешено по подразбиране. По подразбиране промените в CVE-20201-33757 са разрешени и предоставят допълнителна защита в слой SAM. Не се изискват допълнителни промени в конфигурацията след инсталирането на защити за CVE-20201-33757, включени в актуализациите на Windows 13 юли 2021 г. или по-нови актуализации на Windows на всички поддържани версии на Windows. Неподдържаните версии на Windows трябва да бъдат прекратени или надстроени до поддържана версия.
Забележка CVE-2021-33757 само променя начина, по който паролите се шифроват при пренасяне, когато се използват определени API на протокола MS-SAMR и по-конкретно НЕ променяйте начина, по който паролите се съхраняват в покой. За повече информация как паролите са шифровани в покой в Active Directory и локално в SAM базата данни (системния регистър), вижте Общ преглед на паролите.
Допълнителна информация
-
Схема за промяна на паролата
Актуализациите променят модела на промяна на паролата на протокола, като добавят нов метод за промяна на паролата, който ще използва AES.
Стар метод с RC4
Нов метод с AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
За пълен списък на MS-SAMR OpNums вижте Събития за обработка на съобщения и Правила за попоследователност.
-
Схема на набора от пароли
Актуализациите променят модела на набора от пароли на протокола, като добавят два нови класа информация за потребителя към метода SamrSetInformationUser2 (Opnum 58). Можете да зададете информация за паролата по следния начин.
Стар метод с RC4
Нов метод с AES
SamrSetInformationUser2 (Opnum 58) заедно с UserInternal4InformationNew, който държи шифрована потребителска парола с RC4.
SamrSetInformationUser2 (Opnum 58) заедно с UserInternal8Information, който държи шифрована потребителска парола с AES.
SamrSetInformationUser2 (Opnum 58) заедно с UserInternal5InformationNew, който държи шифрована потребителска парола с RC4 и всички други потребителски атрибути.
SamrSetInformationUser2 (Opnum 58) заедно с UserInternal7Information, който държи шифрована парола с AES и всички други потребителски атрибути.
Съществуващият метод на SamrConnect5 обикновено се използва за установяване на връзка между клиента на SAM и сървъра.
Актуализиран сървър сега ще върне нов бит в отговора на SamrConnect5(), както е дефинирано в SAMPR_REVISION_INFO_V1.
Стойност |
Значение |
0x00000010 |
При получаване от клиента тази стойност, когато е зададена, показва, че клиентът трябва да използва AES шифроване със структурата SAMPR_ENCRYPTED_PASSWORD_AES за шифроване на буфери за пароли, когато се изпраща по кабела. Вижте Използване на шифъра на AES (раздел 3.2.2.4)и SAMPR_ENCRYPTED_PASSWORD_AES (раздел 2.2.6.32). |
Ако актуализираният сървър поддържа AES, клиентът ще използва нови методи и нови информационни класове за операции с пароли. Ако сървърът не върне този флаг или клиентът не се актуализира, клиентът ще се върне към използването на предишни методи с RC4 шифроване.
Операциите с набор с пароли изискват домейнов контролер, който може да се записва (RWDC). Промените в паролите се препращат от домейновия контролер само за четене (RODC) към RWDC. Всички устройства трябва да бъдат актуализирани, за да се използва AES. Например:
-
Ако клиентът, RODC или RWDC не се актуализират, ще се използва RC4 шифроване.
-
Ако клиентът, RODC и RWDC се актуализират, ще се използва AES шифроване.
Актуализациите от 13 юли 2021 г. добавят четири нови събития към системния регистър, за да помогнат за идентифициране на устройства, които не са актуализирани, и помагат за подобряване на защитата.
-
ИД на събитие в състояние на конфигурация 16982 или 16983 се записва при стартиране или при промяна на конфигурацията на системния регистър.
ИД на събитие 16982Регистър на събитията
Система
Източник на събитие
Справочни услуги-SAM
ИД на събитие
16982
Ниво
Информация
Текст на съобщение за събитие
Диспечерът на акаунти за защита сега регистрира многослойните събития за отдалечени клиенти, които наричат наследена смяна на паролата или задаваТ RPC методи. Тази настройка може да доведе до голям брой съобщения и трябва да се използва само за кратък период от време за диагностициране на проблеми.
Регистър на събитията
Система
Източник на събитие
Справочни услуги-SAM
ИД на събитие
16983
Ниво
Информация
Текст на съобщение за събитие
Диспечерът на акаунти за защита сега регистрира периодични обобщени събития за отдалечени клиенти, които наричат наследена смяна на паролата или задаваТ RPC методи.
-
След прилагане на актуализацията от 13 юли 2021 г. в регистрационния файл на събитията system се записва резюме на събитие 16984 на всеки 60 минути.
ИД на събитие 16984Регистър на събитията
Система
Източник на събитие
Справочни услуги-SAM
ИД на събитие
16984
Ниво
Информация
Текст на съобщение за събитие
Диспечерът на акаунти за защита откри %x наследена смяна на паролата или задайте повиквания с RPC метод през последните 60 минути.
-
След като конфигурирате многослойното регистриране на събития, ИД на събитие 16985 се записва в системния регистър на събитията всеки път, когато се използва наследен RPC метод за промяна или задаване на парола за акаунт.
ИД на събитие 16985Регистър на събитията
Система
Източник на събитие
Справочни услуги-SAM
ИД на събитие
16985
Ниво
Информация
Текст на съобщение за събитие
Диспечерът на акаунти за защита откри използването на наследена промяна или задаване на RPC метод от мрежов клиент. Обмислете надстройване на клиентската операционна система или приложение, за да използвате най-новата и по-защитена версия на този метод.
Подробни данни:
RPC метод: %1
Адрес на клиентската мрежа: %2
КЛИЕНТСКИ SID: %3
Потребителско име: %4
За да влезете в многослоен ИД на събитие 16985, превключвайте следната стойност в системния регистър на сървъра или домейновия контролер.
Път
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Тип
REG_DWORD
Име на стойност
AuditLegacyPasswordRpcMethods
Данни за стойността
1 = многослойното регистриране е разрешено
0 или не представяне = многослойното регистриране е забранено. Само обобщени събития. (По подразбиране)
Както е описано в SamrUnicodeChangePasswordUser4 (Opnum 73), когато използвате новия метод SamrUnicodeChangePasswordUser4, клиентът и сървърът ще използват алгоритъма PBKDF2, за да извличат шифроване и дешифриране на ключ от старата парола за обикновен текст. Това е така, защото старата парола е единствената обща тайна, която е известна както на сървъра, така и на клиента.
За повече информация относно PBKDF2 вижте BCryptDeriveKeyPBKDF2 функция (bcrypt.h).
Ако трябва да направите промяна от съображения за производителност и защита, можете да регулирате броя на итерациите на PBKDF2, използвани от клиента за промяна на паролата, като зададете следната стойност в системния регистър на клиента.
Забележка: Намаляването на броя на итерациите на PBKDF2 ще намали защитата. Не препоръчваме числото да се намалява от стойността по подразбиране. Препоръчваме обаче да използвате възможно най-голям брой итерации на PBKDF2.
Път |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Тип |
REG_DWORD |
Име на стойност |
PBKDF2Теракции |
Данни за стойността |
Минимум от 5000 до максимум 1000 000 |
Стойност по подразбиране |
10,000 |
Забележка: PBKDF2 не се използва за операции с набори от пароли. За операции с набор от пароли ключът за сесия на SMB е споделената тайна между клиента и сървъра и се използва като основа за извличане на ключове за шифроване.
За повече информация вижте Придобиване на SMB сесиен ключ.
Често задавани въпроси (ЧЗВ)
Downgrade се случва, когато сървърът или клиентът не поддържа AES.
Актуализираните сървъри ще регистрират събития, когато се използват стари методи с RC4.
В момента няма наличен режим на прилагане, но може да има и в бъдеще. Нямаме дата.
Ако устройство на друг потребител не използва протокола SAMR, това не е важно. Други доставчици, които прилагат протокола MS-SAMR, могат да изберат да внедлят това. Обърнете се към доставчика на друг доставчик за всякакви въпроси.
Не се изискват допълнителни промени.
Този протокол е наследен и очакваме, че използването му е много ниско. Наследените приложения може да използват тези API. Освен това някои инструменти на Active Directory, като например AD потребители и компютри, MMC използват SAMR.
Не. Засягат се само промените в паролата, които използват тези конкретни API на SAMR.
Да. PBKDF2 е по-скъпо от RC4. Ако има много промени в паролите, които се случват едновременно на домейновия контролер, който се обажда на SAMRUnicodeChangePasswordUser4 API, натоварването на ПРОЦЕСОРА на LSASS може да бъде засегнато. Можете да настроите итерациите на PBKDF2 на клиентите, ако е необходимо, но не препоръчваме да намалявате от стойността по подразбиране, тъй като това би намалило защитата.
Препратки
Удостоверено шифроване с AES-CBC и HMAC-SHA
Отказ от отговорност за информация на други лица
Предоставяме информация за връзка на други доставчици, за да ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка на трети лица.