Yhteenveto
13. heinäkuuta 2021 -Windows päivitykset ja uudemmat Windows lisäävät CVE-2021-33757 -suojausta.
13. heinäkuuta 2021 Windows -päivitysten tai uudempien Windows-päivitysten asentamisen jälkeen AES (Advanced Encryption Standard) -salaus on ensisijainen menetelmä Windows-asiakasasiakkaissa, kun käytetään vanhaa MS-SAMR-protokollaa salasanatoimintoja varten, jos SAM-palvelin tukee AES-salausta. Jos SAM-palvelin ei tue AES-salausta, vanhan RC4-salauksen varalta sallitaan.
CVE-20201-33757 -protokollan muutokset ovat MS-SAMR-protokollakohtaisia, ja ne ovat riippumattomia muista todennusprotokollista. MS-SAMR käyttää SMB:tä RPC:n ja nimettyjen putkien kautta. Vaikka SMB tukee salausta, se ei ole oletusarvoisesti käytössä. CVE-20201-33757 -muutokset ovat oletusarvoisesti käytössä, ja ne antavat lisäturvaa SAM-kerrokseen. 13. heinäkuuta 2021 Windows (CVE-20201–33757) -versioihin sisältyvien CVE-20201-33757 -suojausten lisäksi Windows ei tarvita muita määritysmuutoksia, jotka sisältyvät kaikkien tuettujen Windows-versioiden päivityksiin. Ohjelmistoversiot, joita Windows ei tueta, on lopetettava tai päivitettävä tuettuun versioon.
Huomautus CVE-2021-33757 muuttaa vain sitä, miten salasanat salataan kuljetuksen aikana käytettäessä MS-SAMR-protokollan tiettyjä ohjelmointirajapintoja ja erityisesti SITÄ, miten salasanat tallennetaan levossa. Lisätietoja siitä, miten salasanat salataan Active Directoryssa ja paikallisesti SAM-tietokannassa (rekisterissä), on ohjeaiheessa Salasanojen yleiskatsaus.
Lisätietoja
-
Salasanan muutoskaava
Päivitykset muuttavat protokollan salasanan muutoskaavaa lisäämällä uuden salasanan vaihtamismenetelmän, joka käyttää AES:tä.
Vanha menetelmä RC4:n kanssa
Uusi menetelmä AES:n kanssa
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Täydellinen luettelo MS-SAMR OpNums -numeroista on ruudussa Viestien käsittelytapahtumat ja Quencing-säännöt.
-
Salasanajoukon kuvio
Päivitykset muokkaavat protokollan salasanajoukkokaavaa lisäämällä kaksi uutta käyttäjätietoluokkaa SamrSetInformationUser2 (Opnum 58) -menetelmään. Voit määrittää salasanatiedot seuraavasti.
Vanha menetelmä RC4:n kanssa
Uusi menetelmä AES:n kanssa
SamrSetInformationUser2 (Opnum 58) yhdessä UserInternal4InformationNew-muodon kanssa, joka sisältää rc4-salatun käyttäjän salasanan.
SamrSetInformationUser2 (Opnum 58) yhdessä UserInternal8Information-tavan kanssa, joka sisältää salatun käyttäjän salasanan AES:llä.
SamrSetInformationUser2 (Opnum 58) yhdessä UserInternal5InformationNew-muodon kanssa, joka sisältää salatun käyttäjän salasanan RC4:llä ja muilla käyttäjämääritteellä.
SamrSetInformationUser2 (Opnum 58) yhdessä UserInternal7Information-ominaisuuden kanssa, jossa on salattu salasana AES:llä ja muilla käyttäjämääritteellä.
Olemassa olevaa SamrConnect5-menetelmää käytetään yleensä yhteyden muodostamiseen SAM-asiakkaan ja palvelimen välille.
Päivitetty palvelin palauttaa nyt uuden bitin SamrConnect5()-vastauksessa, joka on määritetty SAMPR_REVISION_INFO_V1.
Arvo |
Merkitys |
0x00000010 |
Kun asiakas on kuitissa, tämä arvo ilmaisee, että asiakkaan tulee käyttää AES-salausta SAMPR_ENCRYPTED_PASSWORD_AES salata salasanapuskurit, kun se lähetetään johdolle. Katso AES-salakirjoituksen käyttö (osa 3.2.2.4) ja SAMPR_ENCRYPTED_PASSWORD_AES (osa 2.2.6.32). |
Jos päivitetty palvelin tukee AES:tä, asiakas käyttää salasanojen kanssa uusia menetelmiä ja uusia tietoluokkia. Jos palvelin ei palauta tätä merkintää tai jos asiakasohjelmaa ei päivitetä, asiakas palaa edellisiin menetelmiin RC4-salauksella.
Salasanajoukon toiminnot edellyttävät kirjoitettavaa toimialueen ohjauskonetta (RWDC). Password changes are forwarded by the Read Only Domain Controller (RWC) to a RWDC. Kaikki laitteet on päivitettävä, jotta AES:tä voidaan käyttää. Esimerkki:
-
Jos asiakas-, LEVYC- tai RWDC-salausta ei päivitetä, käytetään RC4-salausta.
-
Jos asiakas-, LEVYC- ja RWDC-tiedot päivitetään, käytetään AES-salausta.
13. heinäkuuta 2021 -päivitykset lisäävät järjestelmälokiin neljä uutta tapahtumaa, jotka auttavat tunnistamaan laitteet, joita ei ole päivitetty, ja parantamaan suojausta.
-
Kokoonpanon tilan tapahtumatunnus 16982 tai 16983 kirjataan sisään käynnistyksen yhteydessä tai rekisterin määrityksen muuttuessa.
Tapahtumatunnus 16982Tapahtumaloki
Järjestelmä
Tapahtumalähde
Directory-Services-SAM
Tapahtumatunnus
16982
Taso
Tiedot
Tapahtumaviestin teksti
Security Account Manager kirjaa nyt yksityiskohtaisia tapahtumia etäasiakkaille, jotka kutsuvat vanhojen salasanojen vaihtamista tai RPC-menetelmiä. Tämä asetus voi aiheuttaa suuren määrän viestejä, ja sitä tulee käyttää vain lyhyen aikaa ongelmien vianmääritykseen.
Tapahtumaloki
Järjestelmä
Tapahtumalähde
Directory-Services-SAM
Tapahtumatunnus
16983
Taso
Tiedot
Tapahtumaviestin teksti
Suojaustilin esimies kirjaa nyt säännöllisiä yhteenvetotapahtumia etäasiakkaille, jotka kutsuvat vanhoja salasanoja vaihtamaan tai määrittänyt RPC-menetelmiä.
-
Kun olet soveltanut 13. heinäkuuta 2021 -päivitystä, yhteenvetotapahtuma 16984 kirjataan Järjestelmän tapahtumalokiin 60 minuutin välein.
Tapahtumatunnus 16984Tapahtumaloki
Järjestelmä
Tapahtumalähde
Directory-Services-SAM
Tapahtumatunnus
16984
Taso
Tiedot
Tapahtumaviestin teksti
Suojaustilin valvoja havaitsi %x vanhan salasanan muutoksen tai määrittää RPC-menetelmäpuheluita viimeisten 60 minuutin aikana.
-
Kun olet määrittänyt yksityiskohtaisen tapahtumalokiin kirjaamisen, tapahtumatunnus 16985 kirjataan järjestelmän tapahtumalokiin aina, kun vanhan RPC-menetelmän avulla voidaan vaihtaa tai määrittää tilin salasana.
Tapahtumatunnus 16985Tapahtumaloki
Järjestelmä
Tapahtumalähde
Directory-Services-SAM
Tapahtumatunnus
16985
Taso
Tiedot
Tapahtumaviestin teksti
Suojaustilin valvoja havaitsi vanhan muutoksen tai RPC-menetelmän käytön verkkoasiakasohjelmassa. Harkitse asiakaskäyttöjärjestelmän tai -sovelluksen päivittämistä tämän menetelmän uusimman ja turvallisen version käyttöä varten.
Tiedot:
RPC-menetelmä: %1
Asiakasverkon osoite: %2
Asiakkaan SID-tunnus: %3
Käyttäjänimi: %4
Jos haluat kirjata yksityiskohtaisen tapahtumatunnuksen 16985, vaihda palvelimen tai toimialueen ohjauskoneen seuraava rekisteriarvo.
Polku
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Tyyppi
REG_DWORD
Arvon nimi
AuditLegacyPasswordRpcMethods
Arvon tiedot
1 = yksityiskohtainen kirjaaminen on käytössä
0 tai ei ole paikalla = yksityiskohtainen kirjaaminen on poistettu käytöstä. Vain yhteenvetotapahtumat. (Oletus)
Kuten kuvattu kohdassa SamrUnicodeChangePasswordUser4 (Opnum 73) ja käytät uutta SamrUnicodeChangePasswordUser4-menetelmää, asiakas ja palvelin käyttävät PBKDF2-algoritmia salauksen ja salauksen purkamiseen vanhasta salauksesta. Tämä johtuu siitä, että vanha salasana on ainoa yleinen salasana, joka tunnetaan sekä palvelimessa että asiakasohjelmassa.
Lisätietoja PBKDF2:sta on kohdassa BCryptDeriveKeyPBKDF2-funktio (bcrypt.h).
Jos sinun on tehtävä muutos suorituskyky- ja tietoturvasyistä, voit muuttaa asiakkaan salasanan muuttessa käytössä olevien PBKDF2-iteraatioiden määrää määrittämällä asiakasohjelmassa seuraavan rekisteriarvon.
Huomautus: PBKDF2-iteraatioiden määrän pienentäminen pienentää suojausta. Emme suosittele, että luku pienenee oletustilistä. Suosittelemme kuitenkin, että käytät mahdollisimman monta PBKDF2-iteraatiota.
Polku |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Tyyppi |
REG_DWORD |
Arvon nimi |
PBKDF2Iterations |
Arvon tiedot |
Vähintään 5 000–1 000 000 |
Arvon oletusarvo |
10,000 |
Huomautus: PBKDF2:ta ei käytetä salasanajoukon toiminnoissa. Salasanajoukkotoimintoja varten SMB-istuntoavain on asiakkaan ja palvelimen välinen jaettu salasana, jota käytetään salausavainten koodausperusteena.
Lisätietoja on kohdassa SMB-istuntoavaimen hankkiminen.
Usein kysytyt kysymykset
Järjestelmä kaatuu, jos palvelin tai asiakas ei tue AES:tä.
Päivitetyt palvelimet kirjaavat lokiin tapahtumat, kun vanhoja RC4-menetelmiä käytetään.
Tällä hetkellä pakotustilaa ei ole käytettävissä, mutta niitä voi olla tulevaisuudessa. Meillä ei ole päivämäärää.
Jos kolmannen osapuolen laite ei käytä SAMR-protokollaa, tämä ei ole tärkeää. Ms-SAMR-protokollan toteuttavat kolmannen osapuolen toimittajat voivat halutessaan ottaa tämän käyttöön. Jos sinulla on kysyttävää, ota yhteyttä kolmannen osapuolen toimittajaan.
Lisämuutoksia ei tarvita.
Tämä protokolla on vanha, ja sen käyttö on hyvin vähäistä. Vanhat sovellukset voivat käyttää näitä ohjelmointirajapinnat. Lisäksi jotkin Active Directory -työkalut, kuten AD Users and Computers MMC, käyttävät SAMR-työkalua.
Ei. Muutos koskee vain salasanojen muutoksia, jotka käyttävät näitä SAMR-ohjelmointirajapinnat.
Kyllä. PBKDF2 on kalliimpi kuin RC4. Jos SamrUnicodeChangePasswordUser4-ohjelmointirajapintaa kutsuvassa toimialueen ohjauskoneessa tapahtuu samanaikaisesti monia salasanojen muutoksia, tämä voi vaikuttaa LSASS-suorittimen kuormituson. Voit tarvittaessa hienosäätää PBKDF2-iteraatioita asiakasohjelmissa, mutta emme suosittele oletuksena pienenemista, sillä tämä pienentäisi suojausta.
Lisätietoja
Todennettu salaus AES-CBC:n ja HMAC-SHA:n avulla
Muiden valmistajien tietoja koskeva vastuuvapauslauseke
Microsoft antaa kolmannen osapuolen yhteystiedot teknisen tuen etsimisen avuksi. Nämä yhteystiedot voivat muuttua ilman ennakkoilmoitusta. Microsoft ei takaa tämän kolmannen osapuolen yhteystietojen tarkkuutta.