Shrnutí

Aktualizace z 13. července 2021 Windows novější aktualizace Windows ochranu pro CVE-2021-33757.

Po instalaci aktualizací z 13. července 2021 Windows nebo novějších aktualizací Windows bude pro klienty Windows upřednostňovaným způsobem šifrování standard AES (Advanced Encryption Standard) (AES) při použití staršího protokolu MS-SAMR pro operace hesel, pokud je šifrování AES podporované serverem SAM. Pokud server SAM nepodporuje šifrování AES, budou povoleny záložní verze staršího šifrování RC4.

Změny v protokolu CVE-20201-33757 jsou specifické pro protokol MS-SAMR a jsou nezávislé na jiných ověřovacích protokolech. Ms-SAMR používá smb přes RPC a pojmenované kanály. I když protokol SMB podporuje šifrování, ve výchozím nastavení není povolený. Ve výchozím nastavení jsou změny v protokolu CVE-20201-33757 povolené a poskytují další zabezpečení ve vrstvě SAM. Kromě instalace ochrany pro aktualizaci CVE-20201-33757 zahrnuté v aktualizacích z 13. července 2021 Windows nebo novějších verzích Windows ve všech podporovaných verzích Windows nejsou potřeba žádné další změny konfigurace. Nepodporované verze Windows by měly být ukončeny nebo upgradovány na podporovanou verzi.

Poznámka: Chyba CVE-2021-33757 upravuje způsob šifrování hesel při přenosu jenom při použití určitých rozhraní API protokolu MS-SAMR a konkrétně neměňte způsob uložení hesel v klidu. Další informace o tom, jak se hesla šifrují v klidu ve službě Active Directory a místně v databázi SAM (registru), najdete v tématu Přehled hesel.

Více informací 

Stávající metoda SamrConnect5 se obvykle používá k navázání spojení mezi klientem a serverem SAM.

Aktualizovaný server teď vrátí nový bit v odpovědi SamrConnect5(), jak je definována v SAMPR_REVISION_INFO_V1

Hodnota

Význam:

0x00000010

Při potvrzení klientem tato hodnota, pokud je nastavená, označuje, že klient by měl při posílání přes drát používat šifrování AES se strukturou SAMPR_ENCRYPTED_PASSWORD_AES šifrování vyrovnávacích pamětí hesel. Viz Použití šifry AES (oddíl 3.2.2.4)a SAMPR_ENCRYPTED_PASSWORD_AES (oddíl 2.2.6.32).

Pokud aktualizovaný server podporuje AES, použije klient nové metody a nové třídy informací pro operace s heslem. Pokud server nevrátí tento příznak nebo klient není aktualizován, vrátí se klient k předchozím metodám šifrování RC4.

Operace sady hesel vyžadují zapisovatelný řadič domény (RWDC). Změny hesla přeposílá řadič domény jen pro čtení (RODC) do rwdc. Aby bylo možné používat AES, je nutné aktualizovat všechna zařízení. Příklad:

  • Pokud klient, řadič domény jen pro čtení nebo RWDC není aktualizován, použije se šifrování RC4.

  • Pokud se klient, řadič domény jen pro čtení a RWDC aktualizují, použije se šifrování AES.

Aktualizace z 13. července 2021 přidávají do systémového protokolu čtyři nové události, které pomáhají identifikovat zařízení, která nejsou aktualizována, a pomáhá zlepšit zabezpečení.

  • Stav konfigurace : Id události 16982 nebo 16983 je přihlášeno při spuštění nebo při změně konfigurace registru.ID události 16982

    Protokol událostí

    Systém

    Zdroj události

    Directory-Services-SAM

    ID události

    16982

    Úroveň

    Informace

    Text zprávy události

    Správce účtů zabezpečení teď zaznamenává podrobné události pro vzdálené klienty, kteří volají ke změně staršího hesla nebo k nastavení metod RPC. Toto nastavení může způsobit velký počet zpráv a mělo by být používáno jen krátkou dobu k diagnostice problémů.

    ID události 16983

    Protokol událostí

    Systém

    Zdroj události

    Directory-Services-SAM

    ID události

    16983

    Úroveň

    Informace

    Text zprávy události

    Správce účtů zabezpečení teď zaznamenává pravidelné souhrnné události pro vzdálené klienty, kteří volají ke změně staršího hesla nebo k nastavení metod RPC.

  • Po použití aktualizace z 13. července 2021 se do protokolu systémových událostí každých 60 minut zaprotokoluje souhrnná událost 16984.ID události 16984

    Protokol událostí

    Systém

    Zdroj události

    Directory-Services-SAM

    ID události

    16984

    Úroveň

    Informace

    Text zprávy události

    Správce účtu zabezpečení zjistil v posledních 60 minutách změnu staršího hesla %x nebo nastavil volání metody RPC.

  • Po konfiguraci podrobného protokolování událostí se ID události 16985 zaprotokoluje do protokolu systémových událostí při každém použití starší metody RPC ke změně nebo nastavení hesla účtu.ID události 16985

    Protokol událostí

    Systém

    Zdroj události

    Directory-Services-SAM

    ID události

    16985

    Úroveň

    Informace

    Text zprávy události

    Správce účtů zabezpečení zjistil použití starší změny nebo nastavil metodu RPC od síťového klienta. Zvažte upgrade klientského operačního systému nebo aplikace na nejnovější a bezpečnější verzi této metody.

    Podrobnosti:

    Metoda RPC: %1

    Síťová adresa klienta: %2

    Číslo SID klienta: %3

    Uživatelské jméno: %4 

    Pokud chcete protokolovat podrobné ID události 16985, přepněte následující hodnotu registru na serveru nebo řadiči domény.

    Cesta

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Typ

    REG_DWORD

    Název hodnoty

    AuditLegacyPasswordRpcMethods

    Údaj hodnoty

     1 = je povolené podrobné protokolování

     0 nebo není k dispozici = podrobné protokolování je zakázané. Jenom souhrnné události. (Výchozí)

Jak je popsáno v článku SamrUnicodeChangePasswordUser4 (Opnum 73), použijete-li novou metodu SamrUnicodeChangePasswordUser4, klient a server použije algoritmus PBKDF2 k odvození šifrovacího a dešifrovacího klíče ze starého hesla ve formátu prostého textu. Je to proto, že staré heslo je jediným běžným tajným kódem, který je známý pro server i klienta.  

Další informace o funkci PBKDF2 najdete v článku Funkce BCryptDeriveKeyPBKDF2 (bcrypt.h).

Pokud je nutné provést změnu z důvodu výkonu a zabezpečení, můžete upravit počet iterací PBKDF2 používaných klientem ke změně hesla nastavením následující hodnoty registru v klientovi.

Poznámka: Snížení počtu iterací PBKDF2 sníží zabezpečení.  Nedoporučujeme, aby se číslo snížilo od výchozího nastavení. Doporučujeme ale použít nejvyšší možný počet iterací PBKDF2.

Cesta 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Typ 

REG_DWORD 

Název hodnoty 

PBKDF2Iterations 

Údaj hodnoty 

Minimálně 5 000 až maximálně 1 000 000

Výchozí hodnota 

10,000  

Poznámka: Pbkdf2 se pro operace sady hesel nepoužít. U operací sady hesel je klíč relace SMB sdíleným tajemstvím mezi klientem a serverem a slouží jako základ pro odvození šifrovacích klíčů. 

Další informace najdete v tématu Získání klíče relace SMB.

Časté otázky

Downgrade se stane, když server nebo klient nepodporuje AES.   

Aktualizované servery budou protokolovat události při použití starších metod s RC4. 

V současné době není dostupný režim vynucení, ale v budoucnu může být. Datum nemáme. 

Pokud zařízení jiného výrobce protokol SAMR nepoužité, není to důležité. Dodavatelé třetích stran, kteří implementují protokol MS-SAMR, se mohou rozhodnout tuto implementaci implementovat. V případě jakýchkoli dotazů se obraťte na dodavatele třetí strany. 

Nejsou potřeba žádné další změny.  

Tento protokol je starší a očekáváme, že jeho použití je velmi nízké. Starší aplikace používejte tato rozhraní API. Taky některé nástroje služby Active Directory, jako jsou uživatelé služby AD a konzola MMC Počítače, používají funkci SAMR.

Ne. Týká se to jenom změn hesel, které používají tato specifická rozhraní API SAMR.

Ano. PBKDF2 je dražší než RC4. Pokud na řadiči domény, který volá rozhraní API SamrUnicodeChangePasswordUser4, dochází k mnoha změnám hesla, může to mít vliv na zatížení procesoru lsass. Iterace PBKDF2 můžete u klientů optimalizovat, pokud je to potřeba, ale nedoporučujeme snížit výchozí hodnoty, protože by to snížilo zabezpečení.  

Odkazy

Ověřené šifrování pomocí AES-CBC a HMAC-SHA

Použití šifry AES

Informace třetích stran – právní omezení

Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto informace se mohou změnit bez předchozího upozornění. Nezaručujeme přesnost těchto kontaktních údajů třetích stran.

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.