Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

OPDATERET 20. marts 2023 – sektionen Tilgængelighed

Sammendrag

DCOM Remote Protocol (Distributed Component Object Model) er en protokol til eksponering af programobjekter ved hjælp af RPC'er (Remote Procedure Calls). DCOM bruges til kommunikation mellem softwarekomponenter på netværksenheder. Hærdningsændringer i DCOM var nødvendige for CVE-2021-26414. Derfor anbefaler vi, at du kontrollerer, om klient- eller serverprogrammer i dit miljø, der bruger DCOM eller RPC, fungerer som forventet med hærdningsændringer aktiveret.

Bemærk! Vi anbefaler, at du installerer den nyeste tilgængelige sikkerhedsopdatering. De giver avanceret beskyttelse mod de nyeste sikkerhedstrusler. De indeholder også funktioner, som vi har tilføjet for at understøtte overførsel. Du kan få mere at vide og kontekst om, hvordan vi hærder DCOM, under Hærdning af DCOM-godkendelse: hvad du bør vide.

Den første fase af DCOM-opdateringer blev udgivet d. 8. juni 2021. I denne opdatering blev DCOM-hærdning deaktiveret som standard. Du kan aktivere dem ved at ændre registreringsdatabasen som beskrevet i afsnittet "Registreringsdatabase for at aktivere eller deaktivere hærdningsændringer" nedenfor. Anden fase af DCOM-opdateringer blev udgivet d. 14. juni 2022. Dette ændrede hærdningen til aktiveret som standard, men bevarede muligheden for at deaktivere ændringerne ved hjælp af indstillingerne for registreringsdatabasenøglen. Den sidste fase af DCOM-opdateringerne frigives i marts 2023. Det vil holde DCOM-hærdning aktiveret og fjerne muligheden for at deaktivere den.

Tidslinje

Opdateringsversion

Ændring af funktionsmåde

8. juni 2021

Version 1. fase – Hardening ændres som standard, men med muligheden for at aktivere dem ved hjælp af en registreringsdatabasenøgle.

14. juni 2022

Fase 2 Release – Hardening-ændringer er aktiveret som standard, men med mulighed for at deaktivere dem ved hjælp af en registreringsdatabasenøgle.

14. marts 2023

Version 3 af fase 3 – Hardening-ændringer er aktiveret som standard uden mulighed for at deaktivere dem. På dette tidspunkt skal du løse eventuelle kompatibilitetsproblemer med hærdningsændringer og -programmer i dit miljø.

Test for DCOM-hærdningskompatibilitet

Nye DCOM-fejlhændelser

Som en hjælp til at identificere de programmer, der kan have kompatibilitetsproblemer, efter at vi har aktiveret ændringer af DCOM-sikkerhedshærdning, har vi tilføjet nye DCOM-fejlhændelser i systemloggen. Se tabellerne nedenfor. Systemet registrerer disse hændelser, hvis det registrerer, at et DCOM-klientprogram forsøger at aktivere en DCOM-server ved hjælp af et godkendelsesniveau, der er mindre end RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Du kan spore til klientenheden fra hændelsesloggen på serversiden og bruge hændelseslogge på klientsiden til at finde programmet.

Serverhændelser - Angiv, at serveren modtager anmodninger på lavere niveau

Hændelses-id

Meddelelse

10036

"Politikken på serversiden for godkendelsesniveau tillader ikke, at brugeren %1\%2 SID (%3) fra adressen %4 aktiverer DCOM-serveren. Hæv aktiveringsgodkendelsesniveauet mindst for at RPC_C_AUTHN_LEVEL_PKT_INTEGRITY i klientprogrammet."

(%1 – domæne, %2 – brugernavn, %3 – bruger-SID, %4 – klient-IP-adresse)

Klienthændelser – Angiv, hvilket program der sender anmodninger på lavere niveau

Hændelses-id

Meddelelse

10037

"Programmet %1 med PID %2 anmoder om at aktivere CLSID %3 på computeren %4 med eksplicit angivet godkendelsesniveau på %5. Det laveste aktiveringsgodkendelsesniveau, der kræves af DCOM, er 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Hvis du vil hæve godkendelsesniveauet for aktivering, skal du kontakte programleverandøren."

10038

"Programmet %1 med PID %2 anmoder om at aktivere CLSID %3 på computeren %4 med standardaktiveringsgodkendelsesniveauet på %5. Det laveste aktiveringsgodkendelsesniveau, der kræves af DCOM, er 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Hvis du vil hæve godkendelsesniveauet for aktivering, skal du kontakte programleverandøren."

(%1 – Programsti, %2 – Program-PID, %3 – CLSID for den COM-klasse, som programmet anmoder om at aktivere, %4 – Computernavn, %5 – Værdien af godkendelsesniveau)

Tilgængelighed

Disse fejlhændelser er kun tilgængelige for et undersæt af Windows-versioner. se tabellen nedenfor.

Windows-version

Tilgængelig på eller efter disse datoer

Windows Server 2022

27. september 2021

KB5005619

Windows 10, version 2004, Windows 10, version 20H2, Windows 10, version 21H1

1. september 2021

KB5005101

Windows 10, version 1909

26. august 2021

KB5005103

Windows Server 2019, Windows 10, version 1809

26. august 2021

KB5005102

Windows Server 2016, Windows 10, version 1607

14. september 2021

KB5005573

Windows Server 2012 R2 og Windows 8.1

12. oktober 2021

KB5006714

Windows 11, version 22H2

30. september 2022

KB5017389

Anmodning om automatisk elevationsrettelse på klientsiden

Godkendelsesniveau for alle ikke-anonyme aktiveringsanmodninger

For at reducere problemer med appkompatibilitet har vi automatisk hævet godkendelsesniveauet for alle ikke-anonyme aktiveringsanmodninger fra Windows-baserede DCOM-klienter for at RPC_C_AUTHN_LEVEL_PKT_INTEGRITY som minimum. Med denne ændring accepteres de fleste Windows-baserede DCOM-klientanmodninger automatisk med DCOM-hærdningsændringer aktiveret på serversiden uden yderligere ændringer af DCOM-klienten. Desuden vil de fleste Windows DCOM-klienter automatisk arbejde med DCOM-hærdningsændringer på serversiden uden yderligere ændringer af DCOM-klienten.

Bemærk! Denne programrettelse vil fortsat være inkluderet i de kumulative opdateringer.

Tidslinje for opdatering af programrettelse

Siden den første udgivelse i november 2022 har den automatiske opdatering haft et par opdateringer.

  • Opdatering for november 2022

    • Denne opdatering hævede automatisk aktiveringsgodkendelsesniveauet til pakkeintegritet. Denne ændring er som standard deaktiveret på Windows Server 2016 og Windows Server 2019.

  • Opdatering for december 2022

    • Novemberændringen blev aktiveret som standard for Windows Server 2016 og Windows Server 2019.

    • Denne opdatering løste også et problem, der påvirkede anonym aktivering på Windows Server 2016 og Windows Server 2019.

  • Opdatering for januar 2023

    • Denne opdatering løste et problem, der påvirkede anonym aktivering på platforme fra Windows Server 2008 til Windows 10 (første version udgivet juli 2015).

Hvis du har installeret de kumulative sikkerhedsopdateringer pr. januar 2023 på dine klienter og servere, har de den nyeste automatiske opgraderingsrettelse fuldt aktiveret.

Indstilling i registreringsdatabasen til aktivering eller deaktivering af hærdningsændringer

I de tidslinjefaser, hvor du kan aktivere eller deaktivere hærdningsændringerne for CVE-2021-26414, kan du bruge følgende registreringsdatabasenøgle:

  • Sti: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Værdinavn: "RequireIntegrityActivationAuthenticationLevel"

  • Type: dword

  • Værdidata: default= 0x00000000 betyder deaktiveret. 0x00000001 betyder aktiveret. Hvis denne værdi ikke er defineret, aktiveres den som standard.

Bemærk Du skal angive Værdidata i hexadecimalformat.

Vigtigt! Du skal genstarte enheden, når du har angivet denne registreringsdatabasenøgle, for at den kan træde i kraft.

Bemærk! Aktivering af registreringsdatabasenøglen ovenfor får DCOM-servere til at gennemtvinge en Authentication-Level af RPC_C_AUTHN_LEVEL_PKT_INTEGRITY eller nyere for aktivering. Dette påvirker ikke anonym aktivering (aktivering ved hjælp af godkendelsesniveau RPC_C_AUTHN_LEVEL_NONE). Hvis DCOM-serveren tillader anonym aktivering, vil den stadig være tilladt, selv med DCOM-hærdningsændringer er aktiveret.

Bemærk! Denne registreringsdatabaseværdi findes ikke som standard. skal du oprette den. Windows læser den, hvis den findes, og overskriver den ikke.

Bemærk! Installation af senere opdateringer vil hverken ændre eller fjerne eksisterende poster og indstillinger i registreringsdatabasen.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.