סיכום
עדכוני Windows ב- 13 ביולי 2021 Windows להוסיף הגנות עבור CVE-2021-33757.
לאחר התקנת עדכוני Windows ב- 13 ביולי 2021 Windows ואילך, ההצפנה Advanced Encryption Standard (AES) תהיה השיטה המועדפת בלקוחות Windows בעת שימוש בפרוטוקול MS-SAMR מדור קודם עבור פעולות סיסמה אם הצפנת AES נתמכת על-ידי שרת SAM. אם הצפנת AES אינה נתמכת על-ידי שרת SAM, תורשה נסיגה להצפנה RC4 מדור קודם.
שינויים ב- CVE-20201-33757 ספציפיים לפרוטוקול MS-SAMR והם אינם תלויים בפרוטוקולי אימות אחרים. MS-SAMR משתמש ב- SMB over RPC ובצינורות עם שם. למרות ש- SMB תומך גם בהצפנה, הוא אינו זמין כברירת מחדל. כברירת מחדל, השינויים ב- CVE-20201-33757 זמינים ומספקים אבטחה נוספת בשכבת SAM. אין צורך בשינויי תצורה נוספים מעבר להתקנת הגנות עבור CVE-20201-33757 הכלולים בעדכונים של 13 ביולי 2021 Windows ואילך Windows בכל הגירסאות הנתמכות של Windows. יש להפסיק או לשדרג Windows גירסאות שאינן נתמכות לגירסה נתמכת.
הערה CVE-2021-33757 משנה רק את אופן ההצפנה של סיסמאות בעת שימוש ב- API ספציפיים של פרוטוקול MS-SAMR ובפרט אל תשנה את אופן האחסון של סיסמאות במנוחה. לקבלת מידע נוסף אודות האופן בו סיסמאות מוצפנות במנוחה ב- Active Directory ו באופן מקומי במסד הנתונים של SAM (הרישום), ראה מבט כולל על סיסמאות.
מידע נוסף
-
תבנית שינוי סיסמה
העדכונים משנים תבנית שינוי סיסמה של הפרוטוקול על-ידי הוספת שיטת שינוי סיסמה חדשה המשתמשת ב- AES.
שיטה ישנה עם RC4
שיטה חדשה עם AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
לקבלת רשימה מלאה של פריטי OpNums של MS-SAMR, ראה אירועי עיבוד הודעות וכללי רצף.
-
תבנית ערכת סיסמאות
העדכונים משנים את תבנית ערכת הסיסמה של הפרוטוקול על-ידי הוספת שתי כיתות חדשות של פרטי משתמש לפעולת השירות SamrSetInformationUser2 (Opnum 58). באפשרותך להגדיר פרטי סיסמה באופן הבא.
שיטה ישנה עם RC4
שיטה חדשה עם AES
SamrSetInformationUser2 (Opnum 58) יחד עם UserInternal4InformationNew הכולל סיסמת משתמש מוצפנת עם RC4.
SamrSetInformationUser2 (Opnum 58) יחד עם UserInternal8Information הכוללת סיסמת משתמש מוצפנת עם AES.
SamrSetInformationUser2 (Opnum 58) יחד עם UserInternal5InformationNew הכולל סיסמת משתמש מוצפנת עם RC4 וכל שאר תכונות המשתמש.
SamrSetInformationUser2 (Opnum 58) יחד עם UserInternal7Information אשר מחזיקה סיסמה מוצפנת עם AES וכל שאר תכונות המשתמש.
השיטה הקיימת של SamrConnect5 משמשת בדרך כלל ליצירת חיבור בין לקוח SAM לשרת.
שרת מעודכן יחזיר כעת מעט חדש בתגובה SamrConnect5() כפי שהוגדר ב- SAMPR_REVISION_INFO_V1.
ערך |
משמעות |
0x00000010 |
בקבלה על-ידי הלקוח, ערך זה, כאשר הוא מוגדר, מציין שהלקוח צריך להשתמש בהצפנה של AES עם מבנה SAMPR_ENCRYPTED_PASSWORD_AES כדי להצפין מאגרי סיסמאות כאשר הוא נשלח דרך הכבל. ראה שימוש בצופן AES (סעיף 3.2.2.4)ו- SAMPR_ENCRYPTED_PASSWORD_AES (סעיף 2.2.6.32). |
אם השרת המעודכן תומך ב- AES, הלקוח ישתמש בשיטות חדשות ובמחלקות מידע חדשות עבור פעולות סיסמה. אם השרת אינו מחזיר דגל זה או אם הלקוח אינו מתעדכן, הלקוח יחזור לשימוש בשיטות קודמות עם הצפנה של RC4.
פעולות של ערכת סיסמאות דורשות בקר תחום הניתן לכתיבה (RWDC). שינויי סיסמה מועברים על-ידי בקר התחום לקריאה בלבד (RODC) ל- RWDC. יש לעדכן את כל המכשירים כדי ש- AES יהיה בשימוש. לדוגמה:
-
אם הלקוח, RODC או RWDC אינם מתעדכנים, תשתמש בהצפנה של RC4.
-
אם הלקוח, RODC ו- RWDC מתעדכנים, נעשה שימוש בהצפנה של AES.
עדכוני ה- 13 ביולי 2021 מוסיפים ארבעה אירועים חדשים ביומן המערכת כדי לסייע בזיהוי מכשירים שלא עודכנו ולעזור בשיפור האבטחה.
-
מצב תצורה מזהה אירוע 16982 או 16983 מחובר לאתחול או בעת שינוי תצורה של הרישום.
מזהה אירוע 16982יומן אירועים
System
מקור אירוע
Directory-Services-SAM
מזהה אירוע
16982
רמה
מידע
טקסט הודעת אירוע
מנהל חשבון האבטחה נרשם כעת אירועים מילוליים עבור לקוחות מרוחקים שמכנים שינוי סיסמה מדור קודם או מגדירים שיטות RPC. הגדרה זו עשויה לגרום למספר גדול של הודעות ויש להשתמש לאורך זמן קצר בלבד כדי לאבחן בעיות.
יומן אירועים
System
מקור אירוע
Directory-Services-SAM
מזהה אירוע
16983
רמה
מידע
טקסט הודעת אירוע
מנהל חשבון האבטחה נרשם כעת אירועי סיכום תקופתיים עבור לקוחות מרוחקים שמכנים שינוי סיסמה מדור קודם או מגדירים שיטות RPC.
-
לאחר החלת העדכון ל- 13 ביולי 2021, אירוע סיכום מס' 16984 נרשם ביומן האירועים של המערכת כל 60 דקות.
מזהה אירוע 16984יומן אירועים
System
מקור אירוע
Directory-Services-SAM
מזהה אירוע
16984
רמה
מידע
טקסט הודעת אירוע
מנהל חשבון האבטחה זיהה שינוי סיסמה מדור קודם או קבע שיחות שיטת RPC ב- 60 הדקות האחרונות.
-
לאחר קביעת התצורה של רישום אירועים מילולי, מזהה אירוע 16985 נרשם ביומן האירועים System בכל פעם ששיטת RPC מדור קודם משמשת לשינוי או להגדרת סיסמת חשבון.
מזהה אירוע 16985יומן אירועים
System
מקור אירוע
Directory-Services-SAM
מזהה אירוע
16985
רמה
מידע
טקסט הודעת אירוע
מנהל חשבון האבטחה זיהה את השימוש בשינוי מדור קודם או הגדיר שיטת RPC מלקוח רשת. שקול לשדרג את מערכת ההפעלה או היישום של הלקוח כדי להשתמש בגירסה העדכנית ומאובטחת יותר של שיטה זו.
פרטים:
שיטת RPC: %1
כתובת רשת לקוח: %2
SID של לקוח: %3
שם משתמש: %4
כדי לבצע רישום של Verbose Event ID 16985, החלף את ערך הרישום הבא בשרת או בבקר התחום.
נתיב
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
סוג
REG_DWORD
שם ערך
AuditLegacyPasswordRpcMethods
נתוני ערך
1 = רישום מילולי זמין
0 או לא קיים = רישום מילולי אינו זמין. אירועי סיכום בלבד. (ברירת מחדל)
כפי שמתואר ב- SamrUnicodeChangePasswordUser4 (Opnum 73), בעת שימוש בשיטת SamrUnicodeChangePasswordUser4, הלקוח והשרת ישתמשו באלגוריתם PBKDF2 כדי להפיק מפתח הצפנה ופענוח מהסיסמה הישנה של טקסט רגיל. הסיבה היא שהסיסמה הישנה היא הסוד הנפוץ היחיד הידוע הן לשרת וללקוח.
לקבלת מידע נוסף אודות PBKDF2, ראה הפונקציה BCryptDeriveKeyPBKDF2 (bcrypt.h).
אם עליך לבצע שינוי מטעמי ביצועים ואבטחה, באפשרותך להתאים את מספר איתבי PBKDF2 המשמשים את הלקוח לשינוי סיסמה על-ידי הגדרת ערך הרישום הבא בלקוח.
הערה: הקטנת מספר איצטדיות PBKDF2 תפחית את האבטחה. לא מומלץ להקטין את המספר מברירת המחדל. עם זאת, מומלץ להשתמש במספר הגבוה ביותר האפשרי של איתרצי PBKDF2.
נתיב |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
סוג |
REG_DWORD |
שם ערך |
PBKDF2Iterations |
נתוני ערך |
מינימום של 5,000 עד 1,000,000 לכל היותר |
ברירת מחדל של ערך |
10,000 |
הערה: PBKDF2 אינו משמש עבור פעולות של ערכת סיסמאות. עבור פעולות של ערכת סיסמאות, מפתח ההפעלה של SMB הוא הסוד המשותף בין הלקוח לשרת, והוא משמש כבסיס להפקת מפתחות הצפנה.
לקבלת מידע נוסף, ראה רכישת מפתח הפעלה של SMB.
שאלות נפוצות (שאלות נפוצות)
שדרוג לאחור מתרחש כאשר השרת או הלקוח אינם תומכים ב- AES.
שרתים מעודכנים ירשום אירועים כאשר נעשה שימוש בשיטות מדור קודם עם RC4.
בשלב זה אין מצב אכיפה זמין, אך ייתכן שיהיה בעתיד. אין לנו תאריך.
אם מכשיר של ספקים שלישיים אינו משתמש בפרוטוקול SAMR, הדבר אינו חשוב. ספקים של ספקים אחרים המיישם את פרוטוקול MS-SAMR עשויים לבחור ליישם זאת. פנה לספק של ספק חיצוני לקבלת שאלות.
אין צורך בשינויים נוספים.
פרוטוקול זה הוא מדור קודם, ואנחנו צופים שהשימוש בו נמוך מאוד. יישומים מדור קודם עשויים להשתמש ב- API אלה. כמו כן, כמה כלים של Active Directory, כגון משתמשי AD ומחשבים, MMC משתמשים ב- SAMR.
לא. רק שינויי סיסמה המשתמשים ב- API ספציפיים אלה של SAMR מושפעים.
כן. PBKDF2 יקר יותר מ- RC4. אם מתרחשים שינויים רבים בסיסמה בו-זמנית בבקר התחום שקורא ל- API של SamrUnicodeChangePasswordUser4, ייתכן שהטעינה של ה- CPU של LSASS תושפע. באפשרותך לכוונן את איתבי PBKDF2 בלקוחות אם יש צורך בכך, עם זאת, איננו ממליצים נמוכים מהברירת המחדל, כיוון שאבטחה זו תנמיך את האבטחה.
הפניות
הצפנה מאומתת עם AES-CBC ו- HMAC-SHA
כתב ויתור על מידע של ספקים חיצוניים
אנו מספקים פרטי קשר של ספקים צד שלישי כדי לעזור לך למצוא תמיכה טכנית. פרטי קשר אלו עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי קשר אלה של ספקים צד שלישי.