Σύνοψη

Οι ενημερώσεις Windows 13 Ιουλίου 2021 και νεότερες Windows προσθέτουν προστασία για το CVE-2021-33757.

Μετά την εγκατάσταση των ενημερώσεων του Windows της 13ης Ιουλίου 2021 ή νεότερων ενημερώσεων του Windows, η κρυπτογράφηση Advanced Encryption Standard (AES) θα είναι η προτιμώμενη μέθοδος σε προγράμματα-πελάτες του Windows κατά τη χρήση του παλαιού πρωτοκόλλου MS-SAMR για λειτουργίες κωδικού πρόσβασης, εάν η κρυπτογράφηση AES υποστηρίζεται από το διακομιστή SAM. Εάν η κρυπτογράφηση AES δεν υποστηρίζεται από το διακομιστή SAM, θα επιτρέπεται η εναλλακτική κρυπτογράφηση RC4 παλαιού τύπου.

Οι αλλαγές στο CVE-20201-33757 αφορούν συγκεκριμένα το πρωτόκολλο MS-SAMR και είναι ανεξάρτητες από άλλα πρωτόκολλα ελέγχου ταυτότητας. Το MS-SAMR χρησιμοποιεί SMB μέσω RPC και επώνυμες διοχετεύσεις. Παρόλο που το SMB υποστηρίζει επίσης κρυπτογράφηση, δεν είναι ενεργοποιημένη από προεπιλογή. Από προεπιλογή, οι αλλαγές στο CVE-20201-33757 είναι ενεργοποιημένες και παρέχουν πρόσθετη ασφάλεια στο επίπεδο SAM. Δεν απαιτούνται πρόσθετες αλλαγές ρύθμισης παραμέτρων πέρα από την εγκατάσταση των προστασιαών για CVE-20201-33757 που περιλαμβάνονται στις ενημερώσεις Windows 13 Ιουλίου 2021 ή νεότερες ενημερώσεις του Windows σε όλες τις υποστηριζόμενες εκδόσεις του Windows. Οι μη υποστηριζόμενες εκδόσεις του Windows πρέπει να καταργηθούν ή να αναβαθμιστούν σε μια υποστηριζόμενη έκδοση.

Σημείωση CVE-2021-33757 τροποποιεί μόνο τον τρόπο κρυπτογράφησης των κωδικών πρόσβασης κατά τη μεταφορά κατά τη χρήση συγκεκριμένων API του πρωτοκόλλου MS-SAMR και συγκεκριμένα ΜΗΝ τροποποιείτε τον τρόπο με τον οποίο αποθηκεύονται οι κωδικοί πρόσβασης σε ηρεμία. Για περισσότερες πληροφορίες σχετικά με τον τρόπο κρυπτογράφησης των κωδικών πρόσβασης στην υπηρεσία καταλόγου Active Directory και τοπικά στη βάση δεδομένων SAM (μητρώο), ανατρέξτε στο θέμα Επισκόπηση κωδικών πρόσβασης.

Περισσότερες πληροφορίες  

  • Μοτίβο αλλαγής κωδικού πρόσβασης

    Οι ενημερώσεις τροποποιούν το μοτίβο αλλαγής κωδικού πρόσβασης του πρωτοκόλλου προσθέτοντας μια νέα μέθοδο αλλαγής κωδικού πρόσβασης που θα χρησιμοποιεί AES.

    Παλιά μέθοδος με RC4

    Νέα μέθοδος με AES

    SamrUnicodeChangePasswordUser2 (OpNum 55)

    SamrUnicodeChangePasswordUser4 (OpNum 73)

    Για την πλήρη λίστα των OpNums MS-SAMR, ανατρέξτε στο θέμα Συμβάντα επεξεργασίας μηνυμάτων και κανόνες ακολουθίας.

  • Μοτίβο συνόλου κωδικών πρόσβασης

    Οι ενημερώσεις τροποποιούν το μοτίβο συνόλου κωδικών πρόσβασης του πρωτοκόλλου προσθέτοντας δύο νέες τάξεις πληροφοριών χρήστη στη μέθοδο SamrSetInformationUser2 (Opnum 58). Μπορείτε να ορίσετε πληροφορίες κωδικού πρόσβασης ως εξής.

    Παλιά μέθοδος με RC4

    Νέα μέθοδος με AES

    SamrSetInformationUser2 (Opnum 58) μαζί με το UserInternal4InformationNew που περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης χρήστη με rc4.

    SamrSetInformationUser2 (Opnum 58) μαζί με το UserInternal8Information που περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης χρήστη με AES.

    SamrSetInformationUser2 (Opnum 58) μαζί με το UserInternal5InformationNew που περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης χρήστη με RC4 και όλα τα άλλα χαρακτηριστικά χρήστη.

    SamrSetInformationUser2 (Opnum 58) μαζί με το UserInternal7Information που περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης με AES και όλα τα άλλα χαρακτηριστικά χρήστη.

Η υπάρχουσα μέθοδος SamrConnect5 χρησιμοποιείται συνήθως για τη δημιουργία σύνδεσης μεταξύ του προγράμματος-πελάτη SAM και του διακομιστή.

Ένας ενημερωμένος διακομιστής θα επιστρέψει τώρα ένα νέο bit στην απόκριση SamrConnect5() όπως ορίζεται στο SAMPR_REVISION_INFO_V1. 

Τιμή

Σημασία

0x00000010

Κατά την παραλαβή από το πρόγραμμα-πελάτη, αυτή η τιμή, όταν οριστεί, υποδεικνύει ότι το πρόγραμμα-πελάτης θα πρέπει να χρησιμοποιεί κρυπτογράφηση AES με τη δομή του SAMPR_ENCRYPTED_PASSWORD_AES για την κρυπτογράφηση των buffer κωδικών πρόσβασης κατά την αποστολή μέσω καλωδίου. Ανατρέξτε στις ενότητες Χρήση κρυπτογράφησης AES (ενότητα 3.2.2.4)και SAMPR_ENCRYPTED_PASSWORD_AES (ενότητα 2.2.6.32).

Εάν ο ενημερωμένος διακομιστής υποστηρίζει AES, το πρόγραμμα-πελάτης θα χρησιμοποιήσει νέες μεθόδους και νέες τάξεις πληροφοριών για λειτουργίες κωδικού πρόσβασης. Εάν ο διακομιστής δεν επιστρέψει αυτήν τη σημαία ή εάν το πρόγραμμα-πελάτης δεν ενημερωθεί, το πρόγραμμα-πελάτης θα επιστρέψει στη χρήση προηγούμενων μεθόδων με κρυπτογράφηση RC4.

Οι λειτουργίες συνόλου κωδικών πρόσβασης απαιτούν έναν ελεγκτή τομέα με δυνατότητα εγγραφής (RWDC). Οι αλλαγές κωδικού πρόσβασης προωθώνται από τον ελεγκτή τομέα μόνο για ανάγνωση (RODC) σε RWDC. Όλες οι συσκευές πρέπει να ενημερωθούν για να χρησιμοποιηθούν οι AES. Για παράδειγμα:

  • Εάν το πρόγραμμα-πελάτης, η ΤΕΧΝΟΛΟΓΊΑ ΡΆΒΔΟΥ Ή RWDC δεν ενημερωθεί, θα χρησιμοποιηθεί κρυπτογράφηση RC4.

  • Εάν ενημερωθεί το πρόγραμμα-πελάτης, η τεχνολογία ΡΆΒΔΟΥ ΚΑΙ RWDC, θα χρησιμοποιηθεί κρυπτογράφηση AES.

Οι ενημερώσεις της 13ης Ιουλίου 2021 προσθέτουν τέσσερα νέα συμβάντα στο αρχείο καταγραφής συστήματος για να σας βοηθήσουν να προσδιορίσετε συσκευές που δεν έχουν ενημερωθεί και συμβάλλει στη βελτίωση της ασφάλειας.

  • Το αναγνωριστικό συμβάντος κατάστασης ρύθμισης παραμέτρων 16982 ή 16983 καταγράφεται κατά την εκκίνηση ή μετά από μια αλλαγή ρύθμισης παραμέτρων μητρώου.Αναγνωριστικό συμβάντος 16982

    Αρχείο καταγραφής συμβάντων

    Σύστημα

    Προέλευση συμβάντος

    Directory-Services-SAM

    Αναγνωριστικό συμβάντος

    16982

    Επίπεδο

    Πληροφορίες

    Κείμενο μηνύματος συμβάντος

    Ο διαχειριστής λογαριασμών ασφαλείας τώρα καταγραφή λεπτομερών συμβάντων για απομακρυσμένα προγράμματα-πελάτες που καλούν την αλλαγή κωδικού πρόσβασης παλαιού τύπου ή ορίστε μεθόδους RPC. Αυτή η ρύθμιση μπορεί να προκαλέσει μεγάλο αριθμό μηνυμάτων και θα πρέπει να χρησιμοποιείται μόνο για σύντομο χρονικό διάστημα για τη διάγνωση προβλημάτων.

    Αναγνωριστικό συμβάντος 16983

    Αρχείο καταγραφής συμβάντων

    Σύστημα

    Προέλευση συμβάντος

    Directory-Services-SAM

    Αναγνωριστικό συμβάντος

    16983

    Επίπεδο

    Πληροφορίες

    Κείμενο μηνύματος συμβάντος

    Ο διαχειριστής λογαριασμών ασφαλείας κάνει καταγραφή περιοδικών συμβάντων σύνοψης για απομακρυσμένα προγράμματα-πελάτες που καλούν την αλλαγή κωδικού πρόσβασης παλαιού τύπου ή ορίστε μεθόδους RPC.

  • Μετά την εφαρμογή της ενημέρωσης 13 Ιουλίου 2021, καταγράφεται ένα συμβάν σύνοψης 16984 στο αρχείο καταγραφής συμβάντων συστήματος κάθε 60 λεπτά.Αναγνωριστικό συμβάντος 16984

    Αρχείο καταγραφής συμβάντων

    Σύστημα

    Προέλευση συμβάντος

    Directory-Services-SAM

    Αναγνωριστικό συμβάντος

    16984

    Επίπεδο

    Πληροφορίες

    Κείμενο μηνύματος συμβάντος

    Ο διαχειριστής λογαριασμού ασφαλείας εντόπισε την αλλαγή κωδικού πρόσβασης παλαιού τύπου %x ή τον ορισμό κλήσεων μεθόδου RPC στα τελευταία 60 λεπτά.

  • Μετά τη ρύθμιση παραμέτρων λεπτομερή καταγραφή συμβάντων, το αναγνωριστικό συμβάντος 16985 καταγράφεται στο αρχείο καταγραφής συμβάντων συστήματος κάθε φορά που χρησιμοποιείται μια μέθοδος RPC παλαιού τύπου για την αλλαγή ή τον ορισμό ενός κωδικού πρόσβασης λογαριασμού.Αναγνωριστικό συμβάντος 16985

    Αρχείο καταγραφής συμβάντων

    Σύστημα

    Προέλευση συμβάντος

    Directory-Services-SAM

    Αναγνωριστικό συμβάντος

    16985

    Επίπεδο

    Πληροφορίες

    Κείμενο μηνύματος συμβάντος

    Ο διαχειριστής λογαριασμού ασφαλείας εντόπισε τη χρήση μιας αλλαγής παλαιού τύπου ή τον ορισμό μεθόδου RPC από ένα πρόγραμμα-πελάτη δικτύου. Εξετάστε το ενδεχόμενο να αναβαθμίσετε το λειτουργικό σύστημα ή την εφαρμογή του προγράμματος-πελάτη για να χρησιμοποιήσετε την πιο πρόσφατη και πιο ασφαλή έκδοση αυτής της μεθόδου.

    Λεπτομέρειες:

    Μέθοδος RPC: %1

    Διεύθυνση δικτύου προγράμματος-πελάτη: %2

    SID προγράμματος-πελάτη: %3

    Όνομα χρήστη: %4 

    Για να καταγράψετε λεπτομερή αναγνωριστικό συμβάντος 16985, κάντε εναλλαγή της ακόλουθης τιμής μητρώου στο διακομιστή ή τον ελεγκτή τομέα.

    Διαδρομή

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Τύπος

    REG_DWORD

    Όνομα τιμής

    AuditLegacyPasswordRpcMethods

    Δεδομένα τιμών

     1 = η λεπτομερής καταγραφή είναι ενεργοποιημένη

     0 ή δεν υπάρχει = λεπτομερής καταγραφή είναι απενεργοποιημένη. Μόνο συμβάντα σύνοψης. (Προεπιλογή)

Όπως περιγράφεται στο SamrUnicodeChangePasswordUser4 (Opnum 73), όταν χρησιμοποιείτε τη νέα μέθοδο SamrUnicodeChangePasswordUser4, ο υπολογιστής-πελάτης και ο διακομιστής θα χρησιμοποιήσουν τον αλγόριθμο PBKDF2 για να αντλήσουν ένα κλειδί κρυπτογράφησης και αποκρυπτογράφησης από τον παλιό κωδικό πρόσβασης απλού κειμένου. Αυτό συμβαίνει επειδή ο παλιός κωδικός πρόσβασης είναι το μόνο κοινό μυστικό που είναι γνωστό τόσο στο διακομιστή όσο και στο πρόγραμμα-πελάτη.  

Για περισσότερες πληροφορίες σχετικά με το PBKDF2, ανατρέξτε στη συνάρτηση BCryptDeriveKeyPBKDF2 (bcrypt.h).

Εάν πρέπει να κάνετε μια αλλαγή για λόγους επιδόσεων και ασφάλειας, μπορείτε να προσαρμόσετε τον αριθμό των αλλαγών PBKDF2 που χρησιμοποιούνται από το πρόγραμμα-πελάτη για αλλαγή κωδικού πρόσβασης, ορίζοντας την ακόλουθη τιμή μητρώου στο πρόγραμμα-πελάτη.

Σημείωση: Η μείωση του αριθμού των εκκλήσεων PBKDF2 θα μειώσει την ασφάλεια.  Δεν συνιστάται η μείωση του αριθμού από την προεπιλογή. Ωστόσο, συνιστάται να χρησιμοποιείτε τον μεγαλύτερο δυνατό αριθμό των εκ των βάσεων PBKDF2.

Διαδρομή 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Τύπος 

REG_DWORD 

Όνομα τιμής 

PBKDF2Iterations 

Δεδομένα τιμών 

Τουλάχιστον 5.000 έως 1.000.000 το πολύ

Προεπιλεγμένη τιμή 

10,000  

Σημείωση: Το PBKDF2 δεν χρησιμοποιείται για λειτουργίες συνόλου κωδικών πρόσβασης. Για λειτουργίες συνόλου κωδικών πρόσβασης, το κλειδί περιόδου λειτουργίας SMB είναι το κοινόχρηστο μυστικό μεταξύ προγράμματος-πελάτη και διακομιστή και χρησιμοποιείται ως βάση για τη δημιουργία κλειδιών κρυπτογράφησης. 

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Απόκτηση κλειδιού περιόδου λειτουργίας SMB.

Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις)

Η υποβάθμιση συμβαίνει όταν ο διακομιστής ή το πρόγραμμα-πελάτης δεν υποστηρίζει AES.   

Οι ενημερωμένοι διακομιστές θα κατα καταγραφή συμβάντων όταν χρησιμοποιούνται μέθοδοι παλαιού τύπου με RC4. 

Προς το παρόν, δεν υπάρχει διαθέσιμη λειτουργία επιβολής, αλλά ενδέχεται να υπάρχει στο μέλλον. Δεν έχουμε ημερομηνία. 

Εάν μια συσκευή άλλου κατασκευαστή δεν χρησιμοποιεί το πρωτόκολλο SAMR, αυτό δεν είναι σημαντικό. Οι τρίτοι προμηθευτές που υλοποιούν το πρωτόκολλο MS-SAMR μπορούν να επιλέξουν να το εφαρμόσουν. Επικοινωνήστε με τον τρίτο προμηθευτή για τυχόν ερωτήσεις. 

Δεν απαιτούνται πρόσθετες αλλαγές.  

Αυτό το πρωτόκολλο είναι παλαιού τύπου και αναμένουμε ότι η χρήση του είναι πολύ χαμηλή. Οι εφαρμογές παλαιού τύπου ενδέχεται να χρησιμοποιούν αυτά τα API. Επίσης, ορισμένα εργαλεία της υπηρεσίας καταλόγου Active Directory, όπως οι χρήστες AD και οι υπολογιστές MMC, χρησιμοποιούν SAMR.

Όχι. Επηρεάζονται μόνο οι αλλαγές κωδικού πρόσβασης που χρησιμοποιούν αυτά τα συγκεκριμένα API SAMR.

Ναι. Το PBKDF2 είναι πιο ακριβό από το RC4. Εάν υπάρχουν πολλές αλλαγές κωδικού πρόσβασης που συμβαίνουν ταυτόχρονα στον ελεγκτή τομέα που καλεί το API SamrUnicodeChangePasswordUser4, ενδέχεται να επηρεαστεί ο φόρτος της CPU του LSASS. Μπορείτε να ρυθμίσετε τις εκκλήσεις PBKDF2 σε προγράμματα-πελάτες, εάν είναι απαραίτητο, ωστόσο δεν συνιστάται η μείωση από την προεπιλογή, καθώς αυτό θα μειωνούσε την ασφάλεια.  

Αναφορές

Κρυπτογράφηση με έλεγχο ταυτότητας με AES-CBC και HMAC-SHA

Χρήση κρυπτογράφησης AES

Αποποίηση ευθυνών για πληροφορίες τρίτων κατασκευαστών

Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτές οι πληροφορίες επικοινωνίας ενδέχεται να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτων κατασκευαστών.

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.