Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

PÄIVITETTY 20. maaliskuuta 2023 – Käytettävyys-osio

Yhteenveto

DCOM (Distributed Component Object Model) Remote Protocol on protokolla sovellusobjektien paljastamiseen etäproseduurikutsujen avulla. DCOM:ia käytetään verkkolaitteiden ohjelmistokomponenttien väliseen viestintään. CVE-2021-26414 vaati DCOM:n kovennusmuutoksia. Siksi suosittelemme, että tarkistat, toimivatko DCOM- tai RPC-yhteyttä käyttävät asiakas- tai palvelinsovellukset odotetulla tavalla, kun kovennusmuutokset ovat käytössä.

Huomautus Suosittelemme, että asennat uusimman saatavilla olevan suojauspäivityksen. Ne tarjoavat kehittyneen suojauksen uusimpia tietoturvauhkia vastaan. Ne tarjoavat myös ominaisuuksia, jotka olemme lisänneet tukemaan siirtoa. Lisätietoja ja kontekstia siitä, miten kovennamme DCOM:ia, on ohjeaiheessa DCOM-todennuksen kovennus: mitä sinun on tiedettävä.

DCOM-päivitysten ensimmäinen vaihe julkaistiin 8. kesäkuuta 2021. Tässä päivityksessä DCOM-kovennus on oletusarvoisesti poistettu käytöstä. Voit ottaa ne käyttöön muokkaamalla rekisteriä alla olevan Rekisteri-asetuksen mukaisesti, jotta kovettumismuutokset otetaan käyttöön tai poistetaan käytöstä. DCOM-päivitysten toinen vaihe julkaistiin 14. kesäkuuta 2022. Tämä muutti kovennuksen oletusarvoisesti käyttöön, mutta säilytti mahdollisuuden poistaa muutokset käytöstä rekisteriavainasetusten avulla. DCOM-päivitysten viimeinen vaihe julkaistaan maaliskuussa 2023. Se pitää DCOM-kovennuksen käytössä ja poistaa sen käytöstä poistamisen mahdollisuuden.

Aikajana

Päivitysversio

Toiminnan muutos

8. kesäkuuta 2021

Vaiheen 1 julkaisu – Kovennusmuutokset ovat oletusarvoisesti poissa käytöstä, mutta ne voidaan ottaa käyttöön rekisteriavaimen avulla.

14. kesäkuuta 2022

Vaiheen 2 julkaisu – Muutosten koventaminen on oletusarvoisesti käytössä, mutta ne voidaan poistaa käytöstä rekisteriavaimen avulla.

14. maaliskuuta 2023

Vaiheen 3 julkaisu – Muutosten koventaminen on oletusarvoisesti käytössä, eikä niitä voi poistaa käytöstä. Tässä vaiheessa sinun on ratkaistava kaikki yhteensopivuusongelmat, jotka liittyvät ympäristön kovettuviin muutoksiin ja sovelluksiin.

DCOM-hardening-yhteensopivuuden testaaminen

Uudet DCOM-virhetapahtumat

Jotta tunnistaisit sovellukset, joissa saattaa olla yhteensopivuusongelmia, kun olemme ottaneet käyttöön DCOM-suojauksen kiinteytymismuutokset, lisäsimme uudet DCOM-virhetapahtumat järjestelmälokiin. Katso alla olevat taulukot. Järjestelmä kirjaa nämä tapahtumat, jos se havaitsee, että DCOM-asiakassovellus yrittää aktivoida DCOM-palvelimen alle RPC_C_AUTHN_LEVEL_PKT_INTEGRITY todennustasolla. Voit jäljittää asiakaslaitteeseen palvelinpuolen tapahtumalokista ja etsiä sovelluksen asiakaspuolen tapahtumalokien avulla.

Palvelintapahtumat – Määritä, että palvelin vastaanottaa alemman tason pyyntöjä

Tapahtumatunnus

Viesti

10036

"Palvelimen todennustason käytäntö ei salli käyttäjän %1\%2 SID (%3) osoitteesta %4 aktivoida DCOM-palvelinta. Nosta aktivointitodennustaso vähintään RPC_C_AUTHN_LEVEL_PKT_INTEGRITY asiakassovelluksessa."

(%1 – toimialue, %2 – käyttäjänimi, %3 – Käyttäjän SID, %4 – asiakkaan IP-osoite)

Asiakastapahtumat – määritä, mikä sovellus lähettää alemman tason pyyntöjä

Tapahtumatunnus

Viesti

10037

"Sovellus %1, jossa on PID %2, pyytää aktivoimaan CLSID:n %3 tietokoneessa %4 ja määrittämään erikseen todennustasoksi %5. DCOM:n vaatima pienin aktivointitodennustaso on 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Jos haluat nostaa aktivoinnin todennustasoa, ota yhteyttä sovelluksen toimittajaan."

10038

"Sovellus %1, jossa on PID %2, pyytää aktivoimaan CLSID :n %3 tietokoneessa %4, jonka aktivoinnin oletustodennustaso on %5. DCOM:n vaatima pienin aktivointitodennustaso on 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Jos haluat nostaa aktivoinnin todennustasoa, ota yhteyttä sovelluksen toimittajaan."

(%1 – Sovelluspolku, %2 – Sovelluksen PID, %3 – SEN COM-luokan CLSID, jota sovellus pyytää aktivoimaan, %4 – Tietokoneen nimi, %5 – Todennustason arvo)

Saatavuus

Nämä virhetapahtumat ovat käytettävissä vain Windows-versioiden alijoukossa. katso alla olevaa taulukkoa.

Windows-versio

Käytettävissä seuraavina päivinä tai niiden jälkeen

Windows Server 2022

27. syyskuuta 2021

KB5005619

Windows 10, versio 2004, Windows 10, versio 20H2, Windows 10, versio 21H1

1. syyskuuta 2021

KB5005101

Windows 10, versio 1909

26. elokuuta 2021

KB5005103

Windows Server 2019, Windows 10, versio 1809

26. elokuuta 2021

KB5005102

Windows Server 2016, Windows 10, versio 1607

14.9.2021

KB5005573

Windows Server 2012 R2 ja Windows 8.1

12. lokakuuta 2021

KB5006714

Windows 11, versio 22H2

30. syyskuuta 2022

KB5017389

Asiakaspuolen pyynnön automaattinen korotuskorjaus

Todennustaso kaikille ei-anonyymeille aktivointipyynnöille

Sovellusten yhteensopivuusongelmien vähentämiseksi olemme nostaneet automaattisesti kaikkien Windows-pohjaisten DCOM-asiakkaiden ei-anonyymien aktivointipyyntöjen todennustason vähintään RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Tämän muutoksen myötä useimmat Windows-pohjaiset DCOM-asiakaspyynnöt hyväksytään automaattisesti, kun DCOM-karkeusmuutokset otetaan käyttöön palvelimen puolella ilman DCOM-asiakasohjelman lisämuutoksia. Lisäksi useimmat Windows DCOM -asiakkaat toimivat automaattisesti DCOM:n kuormitusmuutosten kanssa palvelimen puolella ilman DCOM-asiakasohjelman lisämuutoksia.

Huomautus Tämä korjaustiedosto sisältyy edelleen kumulatiivisten päivitysten mukana.

Päivitysaikajanan päivitys

Marraskuun 2022 ensimmäisestä julkaisusta lähtien automaattisen korotuksen korjaustiedostossa on ollut muutamia päivityksiä.

  • Marraskuun 2022 päivitys

    • Tämä päivitys nosti aktivoinnin todennustason automaattisesti paketin eheyteen. Tämä muutos on oletusarvoisesti poistettu käytöstä Windows Server 2016:ssa ja Windows Server 2019:ssä.

  • Joulukuun 2022 päivitys

    • Marraskuun muutos oli oletusarvoisesti käytössä Windows Server 2016:ssa ja Windows Server 2019:ssä.

    • Tämä päivitys korjasi myös ongelman, joka vaikutti anonyymiin aktivointiin Windows Server 2016:ssa ja Windows Server 2019:ssä.

  • Tammikuun 2023 päivitys

    • Tämä päivitys korjasi ongelman, joka vaikutti anonyymiin aktivointiin ympäristöissä Windows Server 2008:sta Windows 10 (heinäkuussa 2015 julkaistu ensimmäinen versio).

Jos olet asentanut kumulatiiviset suojauspäivitykset tammikuusta 2023 lähtien asiakkaisiin ja palvelimiin, heillä on uusin automaattisen korotuksen korjaustiedosto täysin käytössä.

Rekisteriasetus kovennusmuutosten ottamiseksi käyttöön tai ottamiseksi pois käytöstä

Voit ottaa CVE-2021-26414-26414-tiivistysmuutokset käyttöön tai poistaa ne käytöstä käyttämällä seuraavaa rekisteriavainta:

  • Polku: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Arvon nimi: "RequireIntegrityActivationAuthenticationLevel"

  • Tyyppi: dword

  • Arvotiedot: default= 0x00000000 tarkoittaa, että se on poistettu käytöstä. 0x00000001 tarkoittaa käytössä. Jos tätä arvoa ei ole määritetty, se otetaan oletusarvoisesti käyttöön.

Huomautus Anna Arvotiedot heksadesimaalimuodossa.

Tärkeää Laite on käynnistettävä uudelleen tämän rekisteriavaimen määrittämisen jälkeen, jotta se tulee voimaan.

Huomautus Kun yllä oleva rekisteriavain otetaan käyttöön, DCOM-palvelimet pakottavat aktivointia varten Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY tai uudempaa. Tämä ei vaikuta anonyymiin aktivointiin (aktivointi todennustasolla RPC_C_AUTHN_LEVEL_NONE). Jos DCOM-palvelin sallii anonyymin aktivoinnin, se sallitaan silti myös, kun DCOM-karkeusmuutokset ovat käytössä.

Huomautus Tätä rekisteriarvoa ei ole oletusarvoisesti; sinun on luotava se. Windows lukee sen, jos se on olemassa eikä korvaa sitä.

Huomautus Myöhempien päivitysten asentaminen ei muuta eikä poista olemassa olevia rekisterimerkintöjä ja -asetuksia.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.