PÄIVITETTY 20. maaliskuuta 2023 – Käytettävyys-osio
Yhteenveto
DCOM (Distributed Component Object Model) Remote Protocol on protokolla sovellusobjektien paljastamiseen etäproseduurikutsujen avulla. DCOM:ia käytetään verkkolaitteiden ohjelmistokomponenttien väliseen viestintään. CVE-2021-26414 vaati DCOM:n kovennusmuutoksia. Siksi suosittelemme, että tarkistat, toimivatko DCOM- tai RPC-yhteyttä käyttävät asiakas- tai palvelinsovellukset odotetulla tavalla, kun kovennusmuutokset ovat käytössä.
Huomautus Suosittelemme, että asennat uusimman saatavilla olevan suojauspäivityksen. Ne tarjoavat kehittyneen suojauksen uusimpia tietoturvauhkia vastaan. Ne tarjoavat myös ominaisuuksia, jotka olemme lisänneet tukemaan siirtoa. Lisätietoja ja kontekstia siitä, miten kovennamme DCOM:ia, on ohjeaiheessa DCOM-todennuksen kovennus: mitä sinun on tiedettävä.
DCOM-päivitysten ensimmäinen vaihe julkaistiin 8. kesäkuuta 2021. Tässä päivityksessä DCOM-kovennus on oletusarvoisesti poistettu käytöstä. Voit ottaa ne käyttöön muokkaamalla rekisteriä alla olevan Rekisteri-asetuksen mukaisesti, jotta kovettumismuutokset otetaan käyttöön tai poistetaan käytöstä. DCOM-päivitysten toinen vaihe julkaistiin 14. kesäkuuta 2022. Tämä muutti kovennuksen oletusarvoisesti käyttöön, mutta säilytti mahdollisuuden poistaa muutokset käytöstä rekisteriavainasetusten avulla. DCOM-päivitysten viimeinen vaihe julkaistaan maaliskuussa 2023. Se pitää DCOM-kovennuksen käytössä ja poistaa sen käytöstä poistamisen mahdollisuuden.
Aikajana
|
Päivitysversio |
Toiminnan muutos |
|
8. kesäkuuta 2021 |
Vaiheen 1 julkaisu – Kovennusmuutokset ovat oletusarvoisesti poissa käytöstä, mutta ne voidaan ottaa käyttöön rekisteriavaimen avulla. |
|
14. kesäkuuta 2022 |
Vaiheen 2 julkaisu – Muutosten koventaminen on oletusarvoisesti käytössä, mutta ne voidaan poistaa käytöstä rekisteriavaimen avulla. |
|
14. maaliskuuta 2023 |
Vaiheen 3 julkaisu – Muutosten koventaminen on oletusarvoisesti käytössä, eikä niitä voi poistaa käytöstä. Tässä vaiheessa sinun on ratkaistava kaikki yhteensopivuusongelmat, jotka liittyvät ympäristön kovettuviin muutoksiin ja sovelluksiin. |
DCOM-hardening-yhteensopivuuden testaaminen
Uudet DCOM-virhetapahtumat
Jotta tunnistaisit sovellukset, joissa saattaa olla yhteensopivuusongelmia, kun olemme ottaneet käyttöön DCOM-suojauksen kiinteytymismuutokset, lisäsimme uudet DCOM-virhetapahtumat järjestelmälokiin. Katso alla olevat taulukot. Järjestelmä kirjaa nämä tapahtumat, jos se havaitsee, että DCOM-asiakassovellus yrittää aktivoida DCOM-palvelimen alle RPC_C_AUTHN_LEVEL_PKT_INTEGRITY todennustasolla. Voit jäljittää asiakaslaitteeseen palvelinpuolen tapahtumalokista ja etsiä sovelluksen asiakaspuolen tapahtumalokien avulla.
Palvelintapahtumat – Määritä, että palvelin vastaanottaa alemman tason pyyntöjä
|
Tapahtumatunnus |
Viesti |
|---|---|
|
10036 |
"Palvelimen todennustason käytäntö ei salli käyttäjän %1\%2 SID (%3) osoitteesta %4 aktivoida DCOM-palvelinta. Nosta aktivointitodennustaso vähintään RPC_C_AUTHN_LEVEL_PKT_INTEGRITY asiakassovelluksessa." (%1 – toimialue, %2 – käyttäjänimi, %3 – Käyttäjän SID, %4 – asiakkaan IP-osoite) |
Asiakastapahtumat – määritä, mikä sovellus lähettää alemman tason pyyntöjä
|
Tapahtumatunnus |
Viesti |
|---|---|
|
10037 |
"Sovellus %1, jossa on PID %2, pyytää aktivoimaan CLSID:n %3 tietokoneessa %4 ja määrittämään erikseen todennustasoksi %5. DCOM:n vaatima pienin aktivointitodennustaso on 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Jos haluat nostaa aktivoinnin todennustasoa, ota yhteyttä sovelluksen toimittajaan." |
|
10038 |
"Sovellus %1, jossa on PID %2, pyytää aktivoimaan CLSID :n %3 tietokoneessa %4, jonka aktivoinnin oletustodennustaso on %5. DCOM:n vaatima pienin aktivointitodennustaso on 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Jos haluat nostaa aktivoinnin todennustasoa, ota yhteyttä sovelluksen toimittajaan." (%1 – Sovelluspolku, %2 – Sovelluksen PID, %3 – SEN COM-luokan CLSID, jota sovellus pyytää aktivoimaan, %4 – Tietokoneen nimi, %5 – Todennustason arvo) |
Saatavuus
Nämä virhetapahtumat ovat käytettävissä vain Windows-versioiden alijoukossa. katso alla olevaa taulukkoa.
|
Windows-versio |
Käytettävissä seuraavina päivinä tai niiden jälkeen |
|---|---|
|
Windows Server 2022 |
27. syyskuuta 2021 |
|
Windows 10, versio 2004, Windows 10, versio 20H2, Windows 10, versio 21H1 |
1. syyskuuta 2021 |
|
Windows 10, versio 1909 |
26. elokuuta 2021 |
|
Windows Server 2019, Windows 10, versio 1809 |
26. elokuuta 2021 |
|
Windows Server 2016, Windows 10, versio 1607 |
14.9.2021 |
|
Windows Server 2012 R2 ja Windows 8.1 |
12. lokakuuta 2021 |
|
Windows 11, versio 22H2 |
30. syyskuuta 2022 |
Asiakaspuolen pyynnön automaattinen korotuskorjaus
Todennustaso kaikille ei-anonyymeille aktivointipyynnöille
Sovellusten yhteensopivuusongelmien vähentämiseksi olemme nostaneet automaattisesti kaikkien Windows-pohjaisten DCOM-asiakkaiden ei-anonyymien aktivointipyyntöjen todennustason vähintään RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Tämän muutoksen myötä useimmat Windows-pohjaiset DCOM-asiakaspyynnöt hyväksytään automaattisesti, kun DCOM-karkeusmuutokset otetaan käyttöön palvelimen puolella ilman DCOM-asiakasohjelman lisämuutoksia. Lisäksi useimmat Windows DCOM -asiakkaat toimivat automaattisesti DCOM:n kuormitusmuutosten kanssa palvelimen puolella ilman DCOM-asiakasohjelman lisämuutoksia.
Huomautus Tämä korjaustiedosto sisältyy edelleen kumulatiivisten päivitysten mukana.
Päivitysaikajanan päivitys
Marraskuun 2022 ensimmäisestä julkaisusta lähtien automaattisen korotuksen korjaustiedostossa on ollut muutamia päivityksiä.
-
Marraskuun 2022 päivitys
-
Tämä päivitys nosti aktivoinnin todennustason automaattisesti paketin eheyteen. Tämä muutos on oletusarvoisesti poistettu käytöstä Windows Server 2016:ssa ja Windows Server 2019:ssä.
-
-
Joulukuun 2022 päivitys
-
Marraskuun muutos oli oletusarvoisesti käytössä Windows Server 2016:ssa ja Windows Server 2019:ssä.
-
Tämä päivitys korjasi myös ongelman, joka vaikutti anonyymiin aktivointiin Windows Server 2016:ssa ja Windows Server 2019:ssä.
-
-
Tammikuun 2023 päivitys
-
Tämä päivitys korjasi ongelman, joka vaikutti anonyymiin aktivointiin ympäristöissä Windows Server 2008:sta Windows 10 (heinäkuussa 2015 julkaistu ensimmäinen versio).
-
Jos olet asentanut kumulatiiviset suojauspäivitykset tammikuusta 2023 lähtien asiakkaisiin ja palvelimiin, heillä on uusin automaattisen korotuksen korjaustiedosto täysin käytössä.
Rekisteriasetus kovennusmuutosten ottamiseksi käyttöön tai ottamiseksi pois käytöstä
Voit ottaa CVE-2021-26414-26414-tiivistysmuutokset käyttöön tai poistaa ne käytöstä käyttämällä seuraavaa rekisteriavainta:
-
Polku: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Arvon nimi: "RequireIntegrityActivationAuthenticationLevel"
-
Tyyppi: dword
-
Arvotiedot: default= 0x00000000 tarkoittaa, että se on poistettu käytöstä. 0x00000001 tarkoittaa käytössä. Jos tätä arvoa ei ole määritetty, se otetaan oletusarvoisesti käyttöön.
Huomautus Anna Arvotiedot heksadesimaalimuodossa.
Tärkeää Laite on käynnistettävä uudelleen tämän rekisteriavaimen määrittämisen jälkeen, jotta se tulee voimaan.
Huomautus Kun yllä oleva rekisteriavain otetaan käyttöön, DCOM-palvelimet pakottavat aktivointia varten Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY tai uudempaa. Tämä ei vaikuta anonyymiin aktivointiin (aktivointi todennustasolla RPC_C_AUTHN_LEVEL_NONE). Jos DCOM-palvelin sallii anonyymin aktivoinnin, se sallitaan silti myös, kun DCOM-karkeusmuutokset ovat käytössä.
Huomautus Tätä rekisteriarvoa ei ole oletusarvoisesti; sinun on luotava se. Windows lukee sen, jos se on olemassa eikä korvaa sitä.
Huomautus Myöhempien päivitysten asentaminen ei muuta eikä poista olemassa olevia rekisterimerkintöjä ja -asetuksia.
