Oversigt

Opdateringerne for d. 13. juli 2021 Windows opdateringer og senere Windows føjer beskyttelse til CVE-2021-33757.

Når du har installeret opdateringerne fra Windows d. 13. juli 2021 eller nyere Windows opdateringer, vil AES (Advanced Encryption Standard)-kryptering (AES) være den foretrukne metode på Windows-klienter, når du bruger den ældre MS-SAMR-protokol til adgangskodehandlinger, hvis AES-kryptering understøttes af SAM-serveren. Hvis AES-kryptering ikke understøttes af SAM-serveren, tillades fallback til den ældre RC4-kryptering.

Ændringer i CVE-20201-33757 er specifikke for MS-SAMR-protokollen og er uafhængige af andre godkendelsesprotokoller. MS-SAMR bruger SMB over RPC og navngivne pipes. Selvom SMB også understøtter kryptering, er den ikke aktiveret som standard. Som standard er ændringerne i CVE-20201-33757 aktiveret og giver yderligere sikkerhed i SAM-laget. Der kræves ingen yderligere konfigurationsændringer ud over at installere beskyttelse for CVE-20201-33757, der er inkluderet i opdateringer til D. 13. juli 2021 Windows eller nyere Windows på alle understøttede versioner af Windows. Ikke-understøttede versioner Windows bør udgå eller opgraderes til en understøttet version.

Bemærk CVE-2021-33757 ændrer kun, hvordan adgangskoder krypteres under overførsel, når du bruger bestemte API'er i MS-SAMR-protokollen og specifikt Undlad at ændre, hvordan adgangskoder gemmes in rest. Du kan finde flere oplysninger om, hvordan adgangskoder krypteres inaktivt i Active Directory og lokalt i SAM-databasen (registreringsdatabasen) i Oversigt over adgangskoder.

Flere oplysninger 

Den eksisterende SamrConnect5-metode bruges typisk til at oprette en forbindelse mellem SAM-klienten og serveren.

En opdateret server returnerer nu en ny bit i SamrConnect5()-svaret som defineret i SAMPR_REVISION_INFO_V1

Værdi

Betydning

0x00000010

Ved modtagelse af klienten angiver denne værdi, når den er angivet, at klienten skal bruge AES-kryptering med SAMPR_ENCRYPTED_PASSWORD_AES-strukturen til at kryptere adgangskodebuffer, når de sendes via kablet. Se AES Cipher-brug (afsnit 3.2.2.4)og SAMPR_ENCRYPTED_PASSWORD_AES (afsnit 2.2.6.32).

Hvis den opdaterede server understøtter AES, bruger klienten nye metoder og nye oplysningsklasser til adgangskodehandlinger. Hvis serveren ikke returnerer dette flag, eller hvis klienten ikke opdateres, vender klienten tilbage til at bruge tidligere metoder med RC4-kryptering.

Handlinger for adgangskodesæt kræver en skrivebar domænecontroller (RWDC). Ændringer i adgangskoden videresendes af den skrivebeskyttede domænecontroller (RODC) til en RWDC. Alle enheder skal opdateres, for at AES kan bruges. For eksempel:

  • Hvis klienten, RODC eller RWDC ikke opdateres, bruges RC4-kryptering.

  • Hvis klienten, RODC og RWDC opdateres, bruges AES-kryptering.

Opdateringerne for d. 13. juli 2021 tilføjer fire nye hændelser i systemloggen for at identificere enheder, der ikke opdateres, og som er med til at forbedre sikkerheden.

  • Hændelses-id for konfigurationstilstand 16982 eller 16983 er logget på ved start eller ved en ændring i registreringsdatabasens konfiguration.Hændelses-id 16982

    Hændelseslog

    System

    Hændelseskilde

    Directory-Services-SAM

    Hændelses-id

    16982

    Niveau

    Oplysninger

    Meddelelsestekst for begivenhed

    Sikkerhedskontostyring logfører nu detaljerede hændelser for fjernklienter, der kalder ændring af ældre adgangskode eller angiver RPC-metoder. Denne indstilling kan medføre et stort antal meddelelser og bør kun bruges i en kort periode til at diagnosticere problemer.

    Hændelses-id 16983

    Hændelseslog

    System

    Hændelseskilde

    Directory-Services-SAM

    Hændelses-id

    16983

    Niveau

    Oplysninger

    Meddelelsestekst for begivenhed

    Sikkerhedskontoadministratoren logfører nu periodiske opsummeringshændelser for fjernklienter, der kalder ældre adgangskodeændringer eller angiver RPC-metoder.

  • Når opdateringen for 13. juli 2021 er anvendt, logføres en oversigtshændelse 16984 i systemhændelsesloggen hvert 60. minut.Hændelses-id 16984

    Hændelseslog

    System

    Hændelseskilde

    Directory-Services-SAM

    Hændelses-id

    16984

    Niveau

    Oplysninger

    Meddelelsestekst for begivenhed

    Sikkerhedskontoadministratoren har registreret ændring af %x ældre adgangskode eller angivet RPC-metodeopkald inden for de seneste 60 minutter.

  • Når du har konfigureret detaljeret hændelseslogføring, logføres Hændelses-id 16985 til Systemhændelsesloggen, hver gang en ældre RPC-metode bruges til at ændre eller angive en kontoadgangskode.Hændelses-id 16985

    Hændelseslog

    System

    Hændelseskilde

    Directory-Services-SAM

    Hændelses-id

    16985

    Niveau

    Oplysninger

    Meddelelsestekst for begivenhed

    Sikkerhedskontoadministratoren har registreret brugen af en ældre ændring eller indstil RPC-metode fra en netværksklient. Overvej at opgradere klientoperativsystemet eller -programmet for at bruge den nyeste og mere sikre version af denne metode.

    Detaljer:

    RPC-metode: %1

    Klientnetværksadresse: %2

    Client SID: %3

    Brugernavn: %4 

    Hvis du vil logge detaljeret hændelses-id 16985, skal du skifte til følgende registreringsdatabaseværdi på serveren eller domænecontrolleren.

    Sti

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Type

    REG_DWORD

    Værdiens navn

    AuditLegacyPasswordRpcMethods

    Værdidata

     1 = Detaljeret logføring er aktiveret

     0 or not present = detaljeret logføring er deaktiveret. Kun oversigtshændelser. (Standard)

Som beskrevet i SamrUnicodeChangePasswordUser4 (Opnum 73) bruger klienten og serveren PBKDF2-algoritmen til at afsende en krypterings- og dekrypteringsnøgle fra den almindelige tekst gamle adgangskode, når du bruger den nye SamrUnicodeChangePasswordUser4-metode. Dette skyldes, at den gamle adgangskode er den eneste almindelige hemmelighed, der kendes både serveren og klienten.  

Du kan finde flere oplysninger om PBKDF2 under Funktionen BCryptDeriveKeyPBKDF2 (bcrypt.h).

Hvis du skal foretage en ændring af hensyn til ydeevnen og sikkerheden, kan du justere antallet af PBKDF2-gentagelser, der bruges af klienten til ændring af adgangskode ved at angive følgende registreringsdatabaseværdi på klienten.

Bemærk!: Hvis du reducerer antallet af PBKDF2-gentagelser, reduceres sikkerheden.  Vi anbefaler ikke, at tallet formindskes fra standardværdien. Vi anbefaler dog, at du bruger det højest mulige antal PBKDF2-gentagelser.

Sti 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Type 

REG_DWORD 

Værdiens navn 

PBKDF2Iterations 

Værdidata 

Minimum 5.000 til maksimalt 1.000.000

Værdistandard 

10,000  

Bemærk!: PBKDF2 bruges ikke til handlinger for adgangskodesæt. Ved handlinger med adgangskodesæt er SMB-sessionsnøglen den delte hemmelighed mellem klient og server og bruges som grundlag for krypteringsnøgler, der skal afkrypteres. 

Du kan finde flere oplysninger under Finde en SMB-sessionsnøgle.

Ofte stillede spørgsmål

Nedgradering sker, når serveren eller klienten ikke understøtter AES.   

Opdaterede servere logføres hændelser, når ældre metoder med RC4 bruges. 

Der er i øjeblikket ingen tilgængelig håndhævelsestilstand, men det kan være der i fremtiden. Vi har ikke en dato. 

Hvis en tredjepartsenhed ikke bruger SAMR-protokollen, er dette ikke vigtigt. Tredjepartsleverandører, der implementerer MS-SAMR-protokollen, kan vælge at implementere dette. Kontakt tredjepartsleverandøren, hvis du har spørgsmål. 

Der kræves ingen yderligere ændringer.  

Denne protokol er ældre, og vi forventer, at dens brug er meget lav. Ældre programmer anvender muligvis disse API'er. Nogle Active Directory-værktøjer som f.eks. AD-brugere og -computere MMC bruger SAMR.

Nej. Kun ændringer af adgangskode, der bruger disse specifikke SAMR-API'er, påvirkes.

Ja. PBKDF2 er dyrere end RC4. Hvis der er mange ændringer i adgangskoden på samme tid på domænecontrolleren, der kalder SamrUnicodeChangePasswordUser4 API, kan CPU-belastningen af LSASS blive påvirket. Du kan finjustere PBKDF2-gentagelserne på klienter, hvis det er nødvendigt, men vi anbefaler ikke at reducere fra standardværdien, da dette ville sænke sikkerheden.  

Referencer

Godkendt kryptering med AES-CBC og HMAC-SHA

AES-Cipher-brug

Oplysninger om ansvarsfraskrivelse fra tredjepart 

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke nøjagtigheden af disse kontaktoplysninger fra tredjepart.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.