Oversigt
Opdateringerne for d. 13. juli 2021 Windows opdateringer og senere Windows føjer beskyttelse til CVE-2021-33757.
Når du har installeret opdateringerne fra Windows d. 13. juli 2021 eller nyere Windows opdateringer, vil AES (Advanced Encryption Standard)-kryptering (AES) være den foretrukne metode på Windows-klienter, når du bruger den ældre MS-SAMR-protokol til adgangskodehandlinger, hvis AES-kryptering understøttes af SAM-serveren. Hvis AES-kryptering ikke understøttes af SAM-serveren, tillades fallback til den ældre RC4-kryptering.
Ændringer i CVE-20201-33757 er specifikke for MS-SAMR-protokollen og er uafhængige af andre godkendelsesprotokoller. MS-SAMR bruger SMB over RPC og navngivne pipes. Selvom SMB også understøtter kryptering, er den ikke aktiveret som standard. Som standard er ændringerne i CVE-20201-33757 aktiveret og giver yderligere sikkerhed i SAM-laget. Der kræves ingen yderligere konfigurationsændringer ud over at installere beskyttelse for CVE-20201-33757, der er inkluderet i opdateringer til D. 13. juli 2021 Windows eller nyere Windows på alle understøttede versioner af Windows. Ikke-understøttede versioner Windows bør udgå eller opgraderes til en understøttet version.
Bemærk CVE-2021-33757 ændrer kun, hvordan adgangskoder krypteres under overførsel, når du bruger bestemte API'er i MS-SAMR-protokollen og specifikt Undlad at ændre, hvordan adgangskoder gemmes in rest. Du kan finde flere oplysninger om, hvordan adgangskoder krypteres inaktivt i Active Directory og lokalt i SAM-databasen (registreringsdatabasen) i Oversigt over adgangskoder.
Flere oplysninger
-
Ændringsmønster for adgangskode
Opdateringerne ændrer adgangskodeændringsmønsteret for protokollen ved at tilføje en ny metode til ændring af adgangskode, der skal bruge AES.
Gammel metode med RC4
Ny metode med AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Du kan se en komplet liste over MS-SAMR OpNums under Meddelelsesbehandlingshændelser og Regler for sekventering.
-
Adgangskodesætmønster
Opdateringerne ændrer adgangskodesætmønsteret for protokollen ved at tilføje to nye brugeroplysningersklasser til metoden SamrSetInformationUser2 (Opnum 58). Du kan angive adgangskodeoplysninger på følgende måde.
Gammel metode med RC4
Ny metode med AES
SamrSetInformationUser2 (Opnum 58) sammen med UserInternal4InformationNew, der indeholder en krypteret brugeradgangskode med RC4.
SamrSetInformationUser2 (Opnum 58) sammen med UserInternal8Information, der indeholder en krypteret brugeradgangskode med AES.
SamrSetInformationUser2 (Opnum 58) sammen med UserInternal5InformationNew, der indeholder en krypteret brugeradgangskode med RC4 og alle andre brugerattributter.
SamrSetInformationUser2 (Opnum 58) sammen med UserInternal7Information, der indeholder en krypteret adgangskode med AES og alle andre brugerattributter.
Den eksisterende SamrConnect5-metode bruges typisk til at oprette en forbindelse mellem SAM-klienten og serveren.
En opdateret server returnerer nu en ny bit i SamrConnect5()-svaret som defineret i SAMPR_REVISION_INFO_V1.
Værdi |
Betydning |
0x00000010 |
Ved modtagelse af klienten angiver denne værdi, når den er angivet, at klienten skal bruge AES-kryptering med SAMPR_ENCRYPTED_PASSWORD_AES-strukturen til at kryptere adgangskodebuffer, når de sendes via kablet. Se AES Cipher-brug (afsnit 3.2.2.4)og SAMPR_ENCRYPTED_PASSWORD_AES (afsnit 2.2.6.32). |
Hvis den opdaterede server understøtter AES, bruger klienten nye metoder og nye oplysningsklasser til adgangskodehandlinger. Hvis serveren ikke returnerer dette flag, eller hvis klienten ikke opdateres, vender klienten tilbage til at bruge tidligere metoder med RC4-kryptering.
Handlinger for adgangskodesæt kræver en skrivebar domænecontroller (RWDC). Ændringer i adgangskoden videresendes af den skrivebeskyttede domænecontroller (RODC) til en RWDC. Alle enheder skal opdateres, for at AES kan bruges. For eksempel:
-
Hvis klienten, RODC eller RWDC ikke opdateres, bruges RC4-kryptering.
-
Hvis klienten, RODC og RWDC opdateres, bruges AES-kryptering.
Opdateringerne for d. 13. juli 2021 tilføjer fire nye hændelser i systemloggen for at identificere enheder, der ikke opdateres, og som er med til at forbedre sikkerheden.
-
Hændelses-id for konfigurationstilstand 16982 eller 16983 er logget på ved start eller ved en ændring i registreringsdatabasens konfiguration.
Hændelses-id 16982Hændelseslog
System
Hændelseskilde
Directory-Services-SAM
Hændelses-id
16982
Niveau
Oplysninger
Meddelelsestekst for begivenhed
Sikkerhedskontostyring logfører nu detaljerede hændelser for fjernklienter, der kalder ændring af ældre adgangskode eller angiver RPC-metoder. Denne indstilling kan medføre et stort antal meddelelser og bør kun bruges i en kort periode til at diagnosticere problemer.
Hændelseslog
System
Hændelseskilde
Directory-Services-SAM
Hændelses-id
16983
Niveau
Oplysninger
Meddelelsestekst for begivenhed
Sikkerhedskontoadministratoren logfører nu periodiske opsummeringshændelser for fjernklienter, der kalder ældre adgangskodeændringer eller angiver RPC-metoder.
-
Når opdateringen for 13. juli 2021 er anvendt, logføres en oversigtshændelse 16984 i systemhændelsesloggen hvert 60. minut.
Hændelses-id 16984Hændelseslog
System
Hændelseskilde
Directory-Services-SAM
Hændelses-id
16984
Niveau
Oplysninger
Meddelelsestekst for begivenhed
Sikkerhedskontoadministratoren har registreret ændring af %x ældre adgangskode eller angivet RPC-metodeopkald inden for de seneste 60 minutter.
-
Når du har konfigureret detaljeret hændelseslogføring, logføres Hændelses-id 16985 til Systemhændelsesloggen, hver gang en ældre RPC-metode bruges til at ændre eller angive en kontoadgangskode.
Hændelses-id 16985Hændelseslog
System
Hændelseskilde
Directory-Services-SAM
Hændelses-id
16985
Niveau
Oplysninger
Meddelelsestekst for begivenhed
Sikkerhedskontoadministratoren har registreret brugen af en ældre ændring eller indstil RPC-metode fra en netværksklient. Overvej at opgradere klientoperativsystemet eller -programmet for at bruge den nyeste og mere sikre version af denne metode.
Detaljer:
RPC-metode: %1
Klientnetværksadresse: %2
Client SID: %3
Brugernavn: %4
Hvis du vil logge detaljeret hændelses-id 16985, skal du skifte til følgende registreringsdatabaseværdi på serveren eller domænecontrolleren.
Sti
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Type
REG_DWORD
Værdiens navn
AuditLegacyPasswordRpcMethods
Værdidata
1 = Detaljeret logføring er aktiveret
0 or not present = detaljeret logføring er deaktiveret. Kun oversigtshændelser. (Standard)
Som beskrevet i SamrUnicodeChangePasswordUser4 (Opnum 73) bruger klienten og serveren PBKDF2-algoritmen til at afsende en krypterings- og dekrypteringsnøgle fra den almindelige tekst gamle adgangskode, når du bruger den nye SamrUnicodeChangePasswordUser4-metode. Dette skyldes, at den gamle adgangskode er den eneste almindelige hemmelighed, der kendes både serveren og klienten.
Du kan finde flere oplysninger om PBKDF2 under Funktionen BCryptDeriveKeyPBKDF2 (bcrypt.h).
Hvis du skal foretage en ændring af hensyn til ydeevnen og sikkerheden, kan du justere antallet af PBKDF2-gentagelser, der bruges af klienten til ændring af adgangskode ved at angive følgende registreringsdatabaseværdi på klienten.
Bemærk!: Hvis du reducerer antallet af PBKDF2-gentagelser, reduceres sikkerheden. Vi anbefaler ikke, at tallet formindskes fra standardværdien. Vi anbefaler dog, at du bruger det højest mulige antal PBKDF2-gentagelser.
Sti |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Type |
REG_DWORD |
Værdiens navn |
PBKDF2Iterations |
Værdidata |
Minimum 5.000 til maksimalt 1.000.000 |
Værdistandard |
10,000 |
Bemærk!: PBKDF2 bruges ikke til handlinger for adgangskodesæt. Ved handlinger med adgangskodesæt er SMB-sessionsnøglen den delte hemmelighed mellem klient og server og bruges som grundlag for krypteringsnøgler, der skal afkrypteres.
Du kan finde flere oplysninger under Finde en SMB-sessionsnøgle.
Ofte stillede spørgsmål
Nedgradering sker, når serveren eller klienten ikke understøtter AES.
Opdaterede servere logføres hændelser, når ældre metoder med RC4 bruges.
Der er i øjeblikket ingen tilgængelig håndhævelsestilstand, men det kan være der i fremtiden. Vi har ikke en dato.
Hvis en tredjepartsenhed ikke bruger SAMR-protokollen, er dette ikke vigtigt. Tredjepartsleverandører, der implementerer MS-SAMR-protokollen, kan vælge at implementere dette. Kontakt tredjepartsleverandøren, hvis du har spørgsmål.
Der kræves ingen yderligere ændringer.
Denne protokol er ældre, og vi forventer, at dens brug er meget lav. Ældre programmer anvender muligvis disse API'er. Nogle Active Directory-værktøjer som f.eks. AD-brugere og -computere MMC bruger SAMR.
Nej. Kun ændringer af adgangskode, der bruger disse specifikke SAMR-API'er, påvirkes.
Ja. PBKDF2 er dyrere end RC4. Hvis der er mange ændringer i adgangskoden på samme tid på domænecontrolleren, der kalder SamrUnicodeChangePasswordUser4 API, kan CPU-belastningen af LSASS blive påvirket. Du kan finjustere PBKDF2-gentagelserne på klienter, hvis det er nødvendigt, men vi anbefaler ikke at reducere fra standardværdien, da dette ville sænke sikkerheden.
Referencer
Godkendt kryptering med AES-CBC og HMAC-SHA
Oplysninger om ansvarsfraskrivelse fra tredjepart
Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke nøjagtigheden af disse kontaktoplysninger fra tredjepart.