Yhteenveto

13. heinäkuuta 2021 -Windows päivitykset ja uudemmat Windows lisäävät CVE-2021-33757 -suojausta.

13. heinäkuuta 2021 Windows -päivitysten tai uudempien Windows-päivitysten asentamisen jälkeen AES (Advanced Encryption Standard) -salaus on ensisijainen menetelmä Windows-asiakasasiakkaissa, kun käytetään vanhaa MS-SAMR-protokollaa salasanatoimintoja varten, jos SAM-palvelin tukee AES-salausta. Jos SAM-palvelin ei tue AES-salausta, vanhan RC4-salauksen varalta sallitaan.

CVE-20201-33757 -protokollan muutokset ovat MS-SAMR-protokollakohtaisia, ja ne ovat riippumattomia muista todennusprotokollista. MS-SAMR käyttää SMB:tä RPC:n ja nimettyjen putkien kautta. Vaikka SMB tukee salausta, se ei ole oletusarvoisesti käytössä. CVE-20201-33757 -muutokset ovat oletusarvoisesti käytössä, ja ne antavat lisäturvaa SAM-kerrokseen. 13. heinäkuuta 2021 Windows (CVE-20201–33757) -versioihin sisältyvien CVE-20201-33757 -suojausten lisäksi Windows ei tarvita muita määritysmuutoksia, jotka sisältyvät kaikkien tuettujen Windows-versioiden päivityksiin. Ohjelmistoversiot, joita Windows ei tueta, on lopetettava tai päivitettävä tuettuun versioon.

Huomautus CVE-2021-33757 muuttaa vain sitä, miten salasanat salataan kuljetuksen aikana käytettäessä MS-SAMR-protokollan tiettyjä ohjelmointirajapintoja ja erityisesti SITÄ, miten salasanat tallennetaan levossa. Lisätietoja siitä, miten salasanat salataan Active Directoryssa ja paikallisesti SAM-tietokannassa (rekisterissä), on ohjeaiheessa Salasanojen yleiskatsaus.

Lisätietoja  

Olemassa olevaa SamrConnect5-menetelmää käytetään yleensä yhteyden muodostamiseen SAM-asiakkaan ja palvelimen välille.

Päivitetty palvelin palauttaa nyt uuden bitin SamrConnect5()-vastauksessa, joka on määritetty SAMPR_REVISION_INFO_V1. 

Arvo

Merkitys

0x00000010

Kun asiakas on kuitissa, tämä arvo ilmaisee, että asiakkaan tulee käyttää AES-salausta SAMPR_ENCRYPTED_PASSWORD_AES salata salasanapuskurit, kun se lähetetään johdolle. Katso AES-salakirjoituksen käyttö (osa 3.2.2.4) ja SAMPR_ENCRYPTED_PASSWORD_AES (osa 2.2.6.32).

Jos päivitetty palvelin tukee AES:tä, asiakas käyttää salasanojen kanssa uusia menetelmiä ja uusia tietoluokkia. Jos palvelin ei palauta tätä merkintää tai jos asiakasohjelmaa ei päivitetä, asiakas palaa edellisiin menetelmiin RC4-salauksella.

Salasanajoukon toiminnot edellyttävät kirjoitettavaa toimialueen ohjauskonetta (RWDC). Password changes are forwarded by the Read Only Domain Controller (RWC) to a RWDC. Kaikki laitteet on päivitettävä, jotta AES:tä voidaan käyttää. Esimerkki:

  • Jos asiakas-, LEVYC- tai RWDC-salausta ei päivitetä, käytetään RC4-salausta.

  • Jos asiakas-, LEVYC- ja RWDC-tiedot päivitetään, käytetään AES-salausta.

13. heinäkuuta 2021 -päivitykset lisäävät järjestelmälokiin neljä uutta tapahtumaa, jotka auttavat tunnistamaan laitteet, joita ei ole päivitetty, ja parantamaan suojausta.

  • Kokoonpanon tilan tapahtumatunnus 16982 tai 16983 kirjataan sisään käynnistyksen yhteydessä tai rekisterin määrityksen muuttuessa.Tapahtumatunnus 16982

    Tapahtumaloki

    Järjestelmä

    Tapahtumalähde

    Directory-Services-SAM

    Tapahtumatunnus

    16982

    Taso

    Tiedot

    Tapahtumaviestin teksti

    Security Account Manager kirjaa nyt yksityiskohtaisia tapahtumia etäasiakkaille, jotka kutsuvat vanhojen salasanojen vaihtamista tai RPC-menetelmiä. Tämä asetus voi aiheuttaa suuren määrän viestejä, ja sitä tulee käyttää vain lyhyen aikaa ongelmien vianmääritykseen.

    Tapahtumatunnus 16983

    Tapahtumaloki

    Järjestelmä

    Tapahtumalähde

    Directory-Services-SAM

    Tapahtumatunnus

    16983

    Taso

    Tiedot

    Tapahtumaviestin teksti

    Suojaustilin esimies kirjaa nyt säännöllisiä yhteenvetotapahtumia etäasiakkaille, jotka kutsuvat vanhoja salasanoja vaihtamaan tai määrittänyt RPC-menetelmiä.

  • Kun olet soveltanut 13. heinäkuuta 2021 -päivitystä, yhteenvetotapahtuma 16984 kirjataan Järjestelmän tapahtumalokiin 60 minuutin välein.Tapahtumatunnus 16984

    Tapahtumaloki

    Järjestelmä

    Tapahtumalähde

    Directory-Services-SAM

    Tapahtumatunnus

    16984

    Taso

    Tiedot

    Tapahtumaviestin teksti

    Suojaustilin valvoja havaitsi %x vanhan salasanan muutoksen tai määrittää RPC-menetelmäpuheluita viimeisten 60 minuutin aikana.

  • Kun olet määrittänyt yksityiskohtaisen tapahtumalokiin kirjaamisen, tapahtumatunnus 16985 kirjataan järjestelmän tapahtumalokiin aina, kun vanhan RPC-menetelmän avulla voidaan vaihtaa tai määrittää tilin salasana.Tapahtumatunnus 16985

    Tapahtumaloki

    Järjestelmä

    Tapahtumalähde

    Directory-Services-SAM

    Tapahtumatunnus

    16985

    Taso

    Tiedot

    Tapahtumaviestin teksti

    Suojaustilin valvoja havaitsi vanhan muutoksen tai RPC-menetelmän käytön verkkoasiakasohjelmassa. Harkitse asiakaskäyttöjärjestelmän tai -sovelluksen päivittämistä tämän menetelmän uusimman ja turvallisen version käyttöä varten.

    Tiedot:

    RPC-menetelmä: %1

    Asiakasverkon osoite: %2

    Asiakkaan SID-tunnus: %3

    Käyttäjänimi: %4 

    Jos haluat kirjata yksityiskohtaisen tapahtumatunnuksen 16985, vaihda palvelimen tai toimialueen ohjauskoneen seuraava rekisteriarvo.

    Polku

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Tyyppi

    REG_DWORD

    Arvon nimi

    AuditLegacyPasswordRpcMethods

    Arvon tiedot

     1 = yksityiskohtainen kirjaaminen on käytössä

     0 tai ei ole paikalla = yksityiskohtainen kirjaaminen on poistettu käytöstä. Vain yhteenvetotapahtumat. (Oletus)

Kuten kuvattu kohdassa SamrUnicodeChangePasswordUser4 (Opnum 73) ja käytät uutta SamrUnicodeChangePasswordUser4-menetelmää, asiakas ja palvelin käyttävät PBKDF2-algoritmia salauksen ja salauksen purkamiseen vanhasta salauksesta. Tämä johtuu siitä, että vanha salasana on ainoa yleinen salasana, joka tunnetaan sekä palvelimessa että asiakasohjelmassa.  

Lisätietoja PBKDF2:sta on kohdassa BCryptDeriveKeyPBKDF2-funktio (bcrypt.h).

Jos sinun on tehtävä muutos suorituskyky- ja tietoturvasyistä, voit muuttaa asiakkaan salasanan muuttessa käytössä olevien PBKDF2-iteraatioiden määrää määrittämällä asiakasohjelmassa seuraavan rekisteriarvon.

Huomautus: PBKDF2-iteraatioiden määrän pienentäminen pienentää suojausta.  Emme suosittele, että luku pienenee oletustilistä. Suosittelemme kuitenkin, että käytät mahdollisimman monta PBKDF2-iteraatiota.

Polku 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Tyyppi 

REG_DWORD 

Arvon nimi 

PBKDF2Iterations 

Arvon tiedot 

Vähintään 5 000–1 000 000

Arvon oletusarvo 

10,000  

Huomautus: PBKDF2:ta ei käytetä salasanajoukon toiminnoissa. Salasanajoukkotoimintoja varten SMB-istuntoavain on asiakkaan ja palvelimen välinen jaettu salasana, jota käytetään salausavainten koodausperusteena. 

Lisätietoja on kohdassa SMB-istuntoavaimen hankkiminen.

Usein kysytyt kysymykset

Järjestelmä kaatuu, jos palvelin tai asiakas ei tue AES:tä.   

Päivitetyt palvelimet kirjaavat lokiin tapahtumat, kun vanhoja RC4-menetelmiä käytetään. 

Tällä hetkellä pakotustilaa ei ole käytettävissä, mutta niitä voi olla tulevaisuudessa. Meillä ei ole päivämäärää. 

Jos kolmannen osapuolen laite ei käytä SAMR-protokollaa, tämä ei ole tärkeää. Ms-SAMR-protokollan toteuttavat kolmannen osapuolen toimittajat voivat halutessaan ottaa tämän käyttöön. Jos sinulla on kysyttävää, ota yhteyttä kolmannen osapuolen toimittajaan. 

Lisämuutoksia ei tarvita.  

Tämä protokolla on vanha, ja sen käyttö on hyvin vähäistä. Vanhat sovellukset voivat käyttää näitä ohjelmointirajapinnat. Lisäksi jotkin Active Directory -työkalut, kuten AD Users and Computers MMC, käyttävät SAMR-työkalua.

Ei. Muutos koskee vain salasanojen muutoksia, jotka käyttävät näitä SAMR-ohjelmointirajapinnat.

Kyllä. PBKDF2 on kalliimpi kuin RC4. Jos SamrUnicodeChangePasswordUser4-ohjelmointirajapintaa kutsuvassa toimialueen ohjauskoneessa tapahtuu samanaikaisesti monia salasanojen muutoksia, tämä voi vaikuttaa LSASS-suorittimen kuormituson. Voit tarvittaessa hienosäätää PBKDF2-iteraatioita asiakasohjelmissa, mutta emme suosittele oletuksena pienenemista, sillä tämä pienentäisi suojausta.  

Lisätietoja

Todennettu salaus AES-CBC:n ja HMAC-SHA:n avulla

AES-salakirjoituksen käyttö

Muiden valmistajien tietoja koskeva vastuuvapauslauseke 

Microsoft antaa kolmannen osapuolen yhteystiedot teknisen tuen etsimisen avuksi. Nämä yhteystiedot voivat muuttua ilman ennakkoilmoitusta. Microsoft ei takaa tämän kolmannen osapuolen yhteystietojen tarkkuutta.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.