AKTUALIZOVÁNO 20. března 2023 – oddíl Dostupnost
Shrnutí
Vzdálený protokol DCOM (Distributed Component Object Model) je protokol pro vystavení objektů aplikace pomocí vzdálených volání procedur (RPC). Model DCOM se používá ke komunikaci mezi softwarovými součástmi síťových zařízení. Pro CVE-2021-26414 se vyžadovaly změny posílení zabezpečení v modelu DCOM. Proto doporučujeme ověřit, jestli klientské nebo serverové aplikace ve vašem prostředí, které používají DCOM nebo RPC, fungují podle očekávání s povolenými změnami posílení zabezpečení.
Poznámka Důrazně doporučujeme, abyste si nainstalovali nejnovější dostupnou aktualizaci zabezpečení. Poskytují pokročilou ochranu před nejnovějšími bezpečnostními hrozbami. Poskytují také možnosti, které jsme přidali pro podporu migrace. Další informace a kontext o tom, jak posílit zabezpečení modelu DCOM, najdete v tématu Posílení zabezpečení ověřování DCOM: co potřebujete vědět.
První fáze aktualizací modelu DCOM byla vydána 8. června 2021. V této aktualizaci bylo posílení zabezpečení modelu DCOM ve výchozím nastavení zakázané. Můžete je povolit úpravou registru, jak je popsáno v části Nastavení registru pro povolení nebo zakázání změn posílení zabezpečení níže. Druhá fáze aktualizací modelu DCOM byla vydána 14. června 2022. Tím se ve výchozím nastavení změnilo posílení zabezpečení na povolené, ale zachovalo se možnost zakázat změny pomocí nastavení klíče registru. Poslední fáze aktualizací modelu DCOM bude vydána v březnu 2023. Tím se zachová povolené posílení zabezpečení modelu DCOM a odebere se možnost ho zakázat.
Časová osa
|
Aktualizace vydání |
Změna chování |
|
úterý 8. června 2021 |
Vydání fáze 1 – ve výchozím nastavení jsou změny posílení zabezpečení zakázané, ale s možností jejich povolení pomocí klíče registru. |
|
úterý 14. června 2022 |
Vydání fáze 2 – ve výchozím nastavení jsou změny posílení zabezpečení povolené, ale s možností zakázat je pomocí klíče registru. |
|
úterý 14. března 2023 |
Vydání fáze 3 – ve výchozím nastavení je povoleno posílení zabezpečení bez možnosti jejich zakázání. Do tohoto okamžiku musíte vyřešit všechny problémy s kompatibilitou se změnami posílení zabezpečení a aplikacemi ve vašem prostředí. |
Testování kompatibility posílení zabezpečení modelu DCOM
Nové chybové události modelu DCOM
Abychom vám pomohli identifikovat aplikace, které můžou mít problémy s kompatibilitou po povolení změn posílení zabezpečení DCOM, přidali jsme do systémového protokolu nové chybové události modelu DCOM. Podívejte se na následující tabulky. Systém tyto události zaznamená do protokolu, pokud zjistí, že se klientská aplikace DCOM pokouší aktivovat server DCOM pomocí úrovně ověřování, která je menší než RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Z protokolu událostí na straně serveru můžete trasovat klientské zařízení a k vyhledání aplikace použít protokoly událostí na straně klienta.
Události serveru – Označení, že server přijímá požadavky nižší úrovně
|
ID události |
Zprávu |
|---|---|
|
10036 |
Zásady úrovně ověřování na straně serveru neumožňují uživateli %1\%2 SID (%3) z adresy %4 aktivovat server DCOM. Zvyšte úroveň ověřování aktivace alespoň na RPC_C_AUTHN_LEVEL_PKT_INTEGRITY v klientské aplikaci." (%1 – doména, %2 – uživatelské jméno, %3 – IDENTIFIKÁTOR SID uživatele, %4 – IP adresa klienta) |
Události klienta – označuje, která aplikace odesílá požadavky nižší úrovně.
|
ID události |
Zprávu |
|---|---|
|
10037 |
Aplikace %1 s PID %2 žádá o aktivaci CLSID %3 na počítači %4 s explicitně nastavenou úrovní ověřování na %5. Nejnižší úroveň ověřování aktivace vyžadovaná modelem DCOM je 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Pokud chcete zvýšit úroveň ověřování aktivace, obraťte se na dodavatele aplikace. |
|
10038 |
Aplikace %1 s PID %2 žádá o aktivaci CLSID %3 v počítači %4 s výchozí úrovní ověřování aktivace na %5. Nejnižší úroveň ověřování aktivace vyžadovaná modelem DCOM je 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Pokud chcete zvýšit úroveň ověřování aktivace, obraťte se na dodavatele aplikace. (%1 – Cesta k aplikaci, %2 – IDENTIFIKÁTOR PID aplikace, %3 – CLSID třídy com, kterou aplikace žádá o aktivaci, %4 – Název počítače, %5 – hodnota úrovně ověřování) |
Dostupnost
Tyto chybové události jsou k dispozici pouze pro podmnožinu verzí Windows. viz tabulka níže.
|
Verze Windows |
K dispozici k těmto datům nebo později |
|---|---|
|
Windows Server 2022 |
úterý 27. září 2021 |
|
Windows 10 verze 2004 Windows 10 verze 20H2 Windows 10 verze 21H1 |
úterý 1. září 2021 |
|
Windows 10 verze 1909 |
úterý 26. srpna 2021 |
|
Windows Server 2019, Windows 10 verze 1809 |
úterý 26. srpna 2021 |
|
Windows Server 2016, Windows 10, verze 1607 |
14. září 2021 |
|
Windows Server 2012 R2 a Windows 8.1 |
12. října 2021 |
|
Windows 11, verze 22H2 |
úterý 30. září 2022 |
Oprava automatického zvýšení oprávnění požadavku na straně klienta
Úroveň ověřování pro všechny neanonymní žádosti o aktivaci
Abychom omezili problémy s kompatibilitou aplikací, automaticky jsme zvýšili úroveň ověřování pro všechny neanonymní žádosti o aktivaci z klientů DCOM se systémem Windows na minimálně RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Po této změně se většina klientských požadavků modelu DCOM se systémem Windows automaticky přijme s povolenými změnami posílení zabezpečení modelu DCOM na straně serveru bez jakýchkoli dalších úprav klienta modelu DCOM. Většina klientů Windows DCOM navíc bude automaticky pracovat se změnami posílení zabezpečení modelu DCOM na straně serveru bez jakýchkoli dalších úprav klienta modelu DCOM.
Poznámka Tato oprava bude i nadále součástí kumulativních aktualizací.
Časová osa aktualizace oprav
Od prvního vydání v listopadu 2022 měla oprava automatického zvýšení úrovně několik aktualizací.
-
Aktualizace z listopadu 2022
-
Tato aktualizace automaticky zvýšila úroveň ověřování aktivace na integritu paketů. Tato změna byla ve výchozím nastavení zakázaná na Windows Server 2016 a Windows Serveru 2019.
-
-
Aktualizace z prosince 2022
-
Listopadová změna byla ve výchozím nastavení povolena pro Windows Server 2016 a Windows Server 2019.
-
Tato aktualizace také vyřešila problém, který ovlivnil anonymní aktivaci na Windows Server 2016 a Windows Serveru 2019.
-
-
Aktualizace z ledna 2023
-
Tato aktualizace řeší problém, který ovlivnil anonymní aktivaci na platformách z Windows Serveru 2008 do Windows 10 (počáteční verze vydaná v červenci 2015).
-
Pokud jste na klienty a servery nainstalovali kumulativní aktualizace zabezpečení od ledna 2023, budou mít nejnovější opravu automatického zvýšení úrovně plně povolenou.
Nastavení registru pro povolení nebo zakázání změn posílení zabezpečení
Během fází časové osy, ve kterých můžete povolit nebo zakázat změny posílení zabezpečení pro CVE-2021-26414, můžete použít následující klíč registru:
-
Cesta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Název hodnoty: RequireIntegrityActivationAuthenticationLevel
-
Typ: dword
-
Data hodnoty: default= 0x00000000 znamená zakázáno. 0x00000001 znamená povoleno. Pokud tato hodnota není definovaná, bude ve výchozím nastavení povolená.
Poznámka Data hodnoty je nutné zadat v šestnáctkovém formátu.
Důležité Po nastavení tohoto klíče registru musíte zařízení restartovat, aby se projevilo.
Poznámka Když povolíte výše uvedený klíč registru, servery DCOM budou pro aktivaci vynucovat Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY nebo vyšší. To nemá vliv na anonymní aktivaci (aktivace pomocí RPC_C_AUTHN_LEVEL_NONE úrovně ověřování). Pokud server DCOM umožňuje anonymní aktivaci, bude povolená i v případě, že jsou povolené změny posílení zabezpečení modelu DCOM.
Poznámka Tato hodnota registru ve výchozím nastavení neexistuje. musíte ho vytvořit. Systém Windows ho přečte, pokud existuje, a nepřepíše ho.
Poznámka Instalace pozdějších aktualizací nezmění ani neodebere existující položky a nastavení registru.
