סיכום

עדכוני Windows ב- 13 ביולי 2021 Windows להוסיף הגנות עבור CVE-2021-33757.

לאחר התקנת עדכוני Windows ב- 13 ביולי 2021 Windows ואילך, ההצפנה Advanced Encryption Standard (AES) תהיה השיטה המועדפת בלקוחות Windows בעת שימוש בפרוטוקול MS-SAMR מדור קודם עבור פעולות סיסמה אם הצפנת AES נתמכת על-ידי שרת SAM. אם הצפנת AES אינה נתמכת על-ידי שרת SAM, תורשה נסיגה להצפנה RC4 מדור קודם.

שינויים ב- CVE-20201-33757 ספציפיים לפרוטוקול MS-SAMR והם אינם תלויים בפרוטוקולי אימות אחרים. MS-SAMR משתמש ב- SMB over RPC ובצינורות עם שם. למרות ש- SMB תומך גם בהצפנה, הוא אינו זמין כברירת מחדל. כברירת מחדל, השינויים ב- CVE-20201-33757 זמינים ומספקים אבטחה נוספת בשכבת SAM. אין צורך בשינויי תצורה נוספים מעבר להתקנת הגנות עבור CVE-20201-33757 הכלולים בעדכונים של 13 ביולי 2021 Windows ואילך Windows בכל הגירסאות הנתמכות של Windows. יש להפסיק או לשדרג Windows גירסאות שאינן נתמכות לגירסה נתמכת.

הערה CVE-2021-33757 משנה רק את אופן ההצפנה של סיסמאות בעת שימוש ב- API ספציפיים של פרוטוקול MS-SAMR ובפרט אל תשנה את אופן האחסון של סיסמאות במנוחה. לקבלת מידע נוסף אודות האופן בו סיסמאות מוצפנות במנוחה ב- Active Directory ו באופן מקומי במסד הנתונים של SAM (הרישום), ראה מבט כולל על סיסמאות.

מידע נוסף  

השיטה הקיימת של SamrConnect5 משמשת בדרך כלל ליצירת חיבור בין לקוח SAM לשרת.

שרת מעודכן יחזיר כעת מעט חדש בתגובה SamrConnect5() כפי שהוגדר ב- SAMPR_REVISION_INFO_V1. 

ערך

משמעות

0x00000010

בקבלה על-ידי הלקוח, ערך זה, כאשר הוא מוגדר, מציין שהלקוח צריך להשתמש בהצפנה של AES עם מבנה SAMPR_ENCRYPTED_PASSWORD_AES כדי להצפין מאגרי סיסמאות כאשר הוא נשלח דרך הכבל. ראה שימוש בצופן AES (סעיף 3.2.2.4)ו- SAMPR_ENCRYPTED_PASSWORD_AES (סעיף 2.2.6.32).

אם השרת המעודכן תומך ב- AES, הלקוח ישתמש בשיטות חדשות ובמחלקות מידע חדשות עבור פעולות סיסמה. אם השרת אינו מחזיר דגל זה או אם הלקוח אינו מתעדכן, הלקוח יחזור לשימוש בשיטות קודמות עם הצפנה של RC4.

פעולות של ערכת סיסמאות דורשות בקר תחום הניתן לכתיבה (RWDC). שינויי סיסמה מועברים על-ידי בקר התחום לקריאה בלבד (RODC) ל- RWDC. יש לעדכן את כל המכשירים כדי ש- AES יהיה בשימוש. לדוגמה:

  • אם הלקוח, RODC או RWDC אינם מתעדכנים, תשתמש בהצפנה של RC4.

  • אם הלקוח, RODC ו- RWDC מתעדכנים, נעשה שימוש בהצפנה של AES.

עדכוני ה- 13 ביולי 2021 מוסיפים ארבעה אירועים חדשים ביומן המערכת כדי לסייע בזיהוי מכשירים שלא עודכנו ולעזור בשיפור האבטחה.

  • מצב תצורה מזהה אירוע 16982 או 16983 מחובר לאתחול או בעת שינוי תצורה של הרישום.מזהה אירוע 16982

    יומן אירועים

    System

    מקור אירוע

    Directory-Services-SAM

    מזהה אירוע

    16982

    רמה

    מידע

    טקסט הודעת אירוע

    מנהל חשבון האבטחה נרשם כעת אירועים מילוליים עבור לקוחות מרוחקים שמכנים שינוי סיסמה מדור קודם או מגדירים שיטות RPC. הגדרה זו עשויה לגרום למספר גדול של הודעות ויש להשתמש לאורך זמן קצר בלבד כדי לאבחן בעיות.

    מזהה אירוע 16983

    יומן אירועים

    System

    מקור אירוע

    Directory-Services-SAM

    מזהה אירוע

    16983

    רמה

    מידע

    טקסט הודעת אירוע

    מנהל חשבון האבטחה נרשם כעת אירועי סיכום תקופתיים עבור לקוחות מרוחקים שמכנים שינוי סיסמה מדור קודם או מגדירים שיטות RPC.

  • לאחר החלת העדכון ל- 13 ביולי 2021, אירוע סיכום מס' 16984 נרשם ביומן האירועים של המערכת כל 60 דקות.מזהה אירוע 16984

    יומן אירועים

    System

    מקור אירוע

    Directory-Services-SAM

    מזהה אירוע

    16984

    רמה

    מידע

    טקסט הודעת אירוע

    מנהל חשבון האבטחה זיהה שינוי סיסמה מדור קודם או קבע שיחות שיטת RPC ב- 60 הדקות האחרונות.

  • לאחר קביעת התצורה של רישום אירועים מילולי, מזהה אירוע 16985 נרשם ביומן האירועים System בכל פעם ששיטת RPC מדור קודם משמשת לשינוי או להגדרת סיסמת חשבון.מזהה אירוע 16985

    יומן אירועים

    System

    מקור אירוע

    Directory-Services-SAM

    מזהה אירוע

    16985

    רמה

    מידע

    טקסט הודעת אירוע

    מנהל חשבון האבטחה זיהה את השימוש בשינוי מדור קודם או הגדיר שיטת RPC מלקוח רשת. שקול לשדרג את מערכת ההפעלה או היישום של הלקוח כדי להשתמש בגירסה העדכנית ומאובטחת יותר של שיטה זו.

    פרטים:

    שיטת RPC: %1

    כתובת רשת לקוח: %2

    SID של לקוח: %3

    שם משתמש: %4 

    כדי לבצע רישום של Verbose Event ID 16985, החלף את ערך הרישום הבא בשרת או בבקר התחום.

    נתיב

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    סוג

    REG_DWORD

    שם ערך

    AuditLegacyPasswordRpcMethods

    נתוני ערך

     1 = רישום מילולי זמין

     0 או לא קיים = רישום מילולי אינו זמין. אירועי סיכום בלבד. (ברירת מחדל)

כפי שמתואר ב- SamrUnicodeChangePasswordUser4 (Opnum 73), בעת שימוש בשיטת SamrUnicodeChangePasswordUser4, הלקוח והשרת ישתמשו באלגוריתם PBKDF2 כדי להפיק מפתח הצפנה ופענוח מהסיסמה הישנה של טקסט רגיל. הסיבה היא שהסיסמה הישנה היא הסוד הנפוץ היחיד הידוע הן לשרת וללקוח.  

לקבלת מידע נוסף אודות PBKDF2, ראה הפונקציה BCryptDeriveKeyPBKDF2 (bcrypt.h).

אם עליך לבצע שינוי מטעמי ביצועים ואבטחה, באפשרותך להתאים את מספר איתבי PBKDF2 המשמשים את הלקוח לשינוי סיסמה על-ידי הגדרת ערך הרישום הבא בלקוח.

הערה: הקטנת מספר איצטדיות PBKDF2 תפחית את האבטחה.  לא מומלץ להקטין את המספר מברירת המחדל. עם זאת, מומלץ להשתמש במספר הגבוה ביותר האפשרי של איתרצי PBKDF2.

נתיב 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

סוג 

REG_DWORD 

שם ערך 

PBKDF2Iterations 

נתוני ערך 

מינימום של 5,000 עד 1,000,000 לכל היותר

ברירת מחדל של ערך 

10,000  

הערה: PBKDF2 אינו משמש עבור פעולות של ערכת סיסמאות. עבור פעולות של ערכת סיסמאות, מפתח ההפעלה של SMB הוא הסוד המשותף בין הלקוח לשרת, והוא משמש כבסיס להפקת מפתחות הצפנה. 

לקבלת מידע נוסף, ראה רכישת מפתח הפעלה של SMB.

שאלות נפוצות (שאלות נפוצות)

שדרוג לאחור מתרחש כאשר השרת או הלקוח אינם תומכים ב- AES.   

שרתים מעודכנים ירשום אירועים כאשר נעשה שימוש בשיטות מדור קודם עם RC4. 

בשלב זה אין מצב אכיפה זמין, אך ייתכן שיהיה בעתיד. אין לנו תאריך. 

אם מכשיר של ספקים שלישיים אינו משתמש בפרוטוקול SAMR, הדבר אינו חשוב. ספקים של ספקים אחרים המיישם את פרוטוקול MS-SAMR עשויים לבחור ליישם זאת. פנה לספק של ספק חיצוני לקבלת שאלות. 

אין צורך בשינויים נוספים.  

פרוטוקול זה הוא מדור קודם, ואנחנו צופים שהשימוש בו נמוך מאוד. יישומים מדור קודם עשויים להשתמש ב- API אלה. כמו כן, כמה כלים של Active Directory, כגון משתמשי AD ומחשבים, MMC משתמשים ב- SAMR.

לא. רק שינויי סיסמה המשתמשים ב- API ספציפיים אלה של SAMR מושפעים.

כן. PBKDF2 יקר יותר מ- RC4. אם מתרחשים שינויים רבים בסיסמה בו-זמנית בבקר התחום שקורא ל- API של SamrUnicodeChangePasswordUser4, ייתכן שהטעינה של ה- CPU של LSASS תושפע. באפשרותך לכוונן את איתבי PBKDF2 בלקוחות אם יש צורך בכך, עם זאת, איננו ממליצים נמוכים מהברירת המחדל, כיוון שאבטחה זו תנמיך את האבטחה.  

הפניות

הצפנה מאומתת עם AES-CBC ו- HMAC-SHA

שימוש בצופן AES

כתב ויתור על מידע של ספקים חיצוניים

אנו מספקים פרטי קשר של ספקים צד שלישי כדי לעזור לך למצוא תמיכה טכנית. פרטי קשר אלו עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי קשר אלה של ספקים צד שלישי.

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.