Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

VÄRSKENDATUD 20. märts 2023 – kättesaadavusjaotis

Kokkuvõte

Hajuskomponendi objektimudeli (DCOM) kaugprotokoll on protokoll rakendusobjektide eksponeerimiseks kaugprotseduurikutsete (RPC) abil. DCOM-i kasutatakse võrguseadmete tarkvarakomponentide vaheliseks suhtlemiseks. CVE-2021-26414 jaoks oli vaja DCOM-i karmistamismuudatusi. Seetõttu soovitame teil kontrollida, kas teie keskkonna kliendi- või serverirakendused, mis kasutavad DCOM-i või RPC-d, töötavad ootuspäraselt, kui karastusmuudatused on lubatud.

Märkus Soovitame tungivalt installida uusima saadaoleva turbevärskenduse. Need pakuvad täiustatud kaitset uusimate turbeohtude eest. Need pakuvad ka võimalusi, mille oleme lisanud migreerimise toetamiseks. Lisateavet ja konteksti selle kohta, kuidas me DCOM-i tugevdame, leiate teemast DCOM-i autentimise tugevnemine: mida peate teadma.

DCOM-i värskenduste esimene etapp anti välja 8. juunil 2021. Selles värskenduses on DCOM-i kõvandamine vaikimisi keelatud. Nende lubamiseks muutke registrit, nagu on kirjeldatud allpool jaotises "Registrisäte, et lubada või keelata kõvastusmuudatused". DCOM-i värskenduste teine etapp anti välja 14. juunil 2022. See muutis kõvanemise vaikimisi lubatuks, kuid säilitas võimaluse keelata muudatused registrivõtme sätete abil. DCOM-i värskenduste viimane etapp antakse välja märtsis 2023. See hoiab DCOM-i kõvastamise lubatud ja eemaldab selle keelamise võimaluse.

Ajaskaala

Värskenduse väljalase

Käitumise muutus

8. juuni 2021

1. etapi väljalase – muutuste karmistamine on vaikimisi keelatud, kuid võimaldab neid registrivõtme abil lubada.

14. juuni 2022

2. etapi väljalase – muutuste karmistamine on vaikimisi lubatud, kuid need saab registrivõtme abil keelata.

14. märts 2023

3. etapi väljalase – muudatuste karmistamine on vaikimisi lubatud ja neid ei saa keelata. Selleks peate lahendama kõik ühilduvusprobleemid, mis on seotud teie keskkonna karmistusmuudatuste ja rakendustega.

DCOM-i ühilduvuse testimine

Uued DCOM-i tõrkesündmused

Selleks et aidata teil tuvastada rakendused, mis võivad pärast DCOM-i turbekõvendusmuudatuste lubamist ühilduvusprobleemidega olla, lisasime süsteemilogisse uued DCOM-i tõrkesündmused. Vaadake allolevaid tabeleid. Süsteem logib need sündmused, kui tuvastab, et DCOM-i klientrakendus proovib aktiveerida DCOM-i serverit autentimistasemega, mis on väiksem kui RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Saate serveripoolsest sündmuselogist klientseadmesse jälile saada ja kasutada rakenduse otsimiseks kliendipoolseid sündmuselogisid.

Serverisündmused – Näitab, et server võtab vastu madalama taseme taotlusi

Sündmuse ID

Saada sõnum

10036

"Serveripoolse autentimise taseme poliitika ei luba kasutajal %1\%2 SID-d (%3) aadressilt %4 DCOM-i serverit aktiveerida. Tõstke aktiveerimise autentimistase klientrakenduses vähemalt RPC_C_AUTHN_LEVEL_PKT_INTEGRITY."

(%1 – domeen, %2 – kasutajanimi, %3 – kasutaja SID, %4 – kliendi IP-aadress)

Kliendisündmused – näitab, milline rakendus saadab madalama taseme taotlusi

Sündmuse ID

Saada sõnum

10037

"Rakendus %1 koos PID-ga %2 taotleb CLSID %3 aktiveerimist arvutis %4, kui autentimistase on konkreetselt määratud asukohas %5. DCOM-i nõutav madalaim aktiveerimise autentimistase on 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aktiveerimise autentimistaseme tõstmiseks pöörduge rakenduse tarnija poole."

10038

"Rakendus %1 koos PID-ga %2 taotleb CLSID %3 aktiveerimist arvutis %4, kus aktiveerimise vaikeautentimise tase on %5. DCOM-i nõutav madalaim aktiveerimise autentimistase on 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aktiveerimise autentimistaseme tõstmiseks pöörduge rakenduse tarnija poole."

(%1 – rakenduse tee, %2 – rakenduse PID, %3 – COM-klassi CLSID, mida rakendus taotleb aktiveerida, %4 – arvuti nimi, %5 – autentimistaseme väärtus)

Kättesaadavus

Need tõrkesündmused on saadaval ainult Windowsi versioonide alamhulga jaoks. vaadake allolevat tabelit.

Windowsi versioon

Saadaval nendel kuupäevadel või hiljem

Windows Server 2022

27. september 2021

KB5005619

Windows 10, versioon 2004, Windows 10, versioon 20H2, Windows 10, versioon 21H1

1. september 2021

KB5005101

Windows 10, versioon 1909

26. august 2021

KB5005103

Windows Server 2019, Windows 10, versioon 1809

26. august 2021

KB5005102

Windows Server 2016, Windows 10, versioon 1607

14. september 2021

KB5005573

Windows Server 2012 R2 ja Windows 8.1

12. oktoober 2021

KB5006714

Windows 11, versioon 22H2

30. september 2022

KB5017389

Kliendipoolne taotluse automaatne kõrguse paikamine

Kõigi mitte anonüümse aktiveerimistaotluste autentimistase

Rakenduste ühilduvusprobleemide vähendamiseks tõstsime automaatselt kõigi Windowsi-põhiste DCOM-i klientrakenduste mitte anonüümse aktiveerimise taotluste autentimistaseme vähemalt RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Selle muudatusega aktsepteeritakse enamik Windowsi-põhisi DCOM-i klienditaotlusi automaatselt DCOM-i kõvastusmuudatustega, mis on serveri poolel lubatud, ilma DCOM-i klienti täiendavalt muutmata. Lisaks töötab enamik Windows DCOM-i kliente automaatselt DCOM-i serveripoolsete muutustega ilma DCOM-i klienti täiendavalt muutmata.

Märkus See paik kaasatakse jätkuvalt koondvärskendustesse.

Paikamise värskendamise ajaskaala

Alates algsest väljalaskest novembris 2022, on automaatse ülemamise paigal olnud mõned värskendused.

  • 2022. aasta novembri värskendus

    • See värskendus tõstis aktiveerimise autentimistaseme automaatselt paketi tervikluseks. Windows Server 2016 ja Windows Server 2019 on see muudatus vaikimisi keelatud.

  • 2022. aasta detsembri värskendus

    • Novembri muudatus lubati Windows Server 2016 ja Windows Server 2019 jaoks vaikimisi.

    • See värskendus lahendas ka probleemi, mis mõjutas anonüümse aktiveerimise Windows Server 2016 ja Windows Server 2019.

  • 2023. aasta jaanuari värskendus

    • See värskendus lahendas probleemi, mis mõjutas anonüümse aktiveerimise platvormidel Windows Server 2008 kuni Windows 10 (algversioon anti välja 2015. aasta juulis).

Kui olete oma klientrakendustesse ja serveritesse installinud kumulatiivsed turbevärskendused 2023. aasta jaanuari seisuga, on neil uusim automaatse ülemamise paik täielikult lubatud.

Registrisäte karastusmuudatuste lubamiseks või keelamiseks

Ajaskaala etappides, kus saate CVE-2021-26414 karastusmuudatused lubada või keelata, saate kasutada järgmist registrivõtit.

  • Tee: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Väärtuse nimi: "RequireIntegrityActivationAuthenticationLevel"

  • Tüüp: dword

  • Väärtuseandmed: vaikeväärtus= 0x00000000 tähendab keelatud. 0x00000001 tähendab lubamist. Kui seda väärtust pole määratletud, lubatakse see vaikimisi.

Märkus Väärtuseandmed tuleb sisestada kuueteistkümnendvormingus.

Tähtis Pärast registrivõtme määramist peate seadme taaskäivitama, et see jõustuks.

Märkus Ülaltoodud registrivõtme lubamisel jõustavad DCOM-serverid aktiveerimiseks RPC_C_AUTHN_LEVEL_PKT_INTEGRITY või uuema Authentication-Level . See ei mõjuta anonüümset aktiveerimist (aktiveerimine autentimistasemega RPC_C_AUTHN_LEVEL_NONE). Kui DCOM-i server lubab anonüümse aktiveerimise, on see lubatud isegi siis, kui DCOM-i kõvastusmuudatused on lubatud.

Märkus Seda registriväärtust pole vaikimisi olemas; peate selle looma. Windows loeb selle ette, kui see on olemas ja ei kirjuta seda üle.

Märkus Hilisemate värskenduste installimine ei muuda ega eemalda olemasolevaid registrikirjeid ja sätteid.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.