Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

AŽURIRANO 20. ožujka 2023. – odjeljak Dostupnost

Sažetak

Remote Protocol Distributed Component Object Model (DCOM) protokol je za izlaganje objekata aplikacije pomoću poziva udaljenih procedura (RPC-ova). DCOM se koristi za komunikaciju između softverskih komponenti mrežnih uređaja. Za CVE-2021-26414 potrebne su promjene u DCOM-u. Stoga preporučujemo da provjerite funkcioniraju li klijentske ili poslužiteljske aplikacije u vašem okruženju koje koriste DCOM ili RPC na očekivani način s omogućenim promjenama s otegavanjem.

Napomena Preporučujemo da instalirate najnovije dostupno sigurnosno ažuriranje. Pružaju naprednu zaštitu od najnovijih sigurnosnih prijetnji. Nude i mogućnosti koje smo dodali za podršku migraciji. Dodatne informacije i kontekst o tome kako očujete DCOM potražite u članku Očtravanje dcom provjere autentičnosti : ono što trebate znati.

Prva faza ažuriranja DCOM-a objavljena je 8. lipnja 2021. U tom ažuriranju DCOM stisne po zadanom je onemogućeno. Možete ih omogućiti tako da izmijenite registar na način opisan u odjeljku "Postavka registra za omogućivanje ili onemogućivanje promjena očnjavanja" u nastavku. Druga faza ažuriranja DCOM-a objavljena je 14. lipnja 2022. To je po zadanom promijenilo otegiranje na omogućeno, ali je zadržalo mogućnost onemogućivanja promjena pomoću postavki ključa registra. Konačna faza ažuriranja DCOM-a bit će objavljena u ožujku 2023. To će zadržati DCOM hardening omogućen i ukloniti mogućnost da ga onemogućiti.

Vremenska crta

Ažuriranje izdanja

Promjena ponašanja

8. lipnja 2021.

1. faza izdanja – po zadanom je onemogućeno otegiranje promjena, ali uz mogućnost omogućivanja korištenja ključa registra.

14. lipnja 2022.

2. faza izdanja – promjene otečavanja omogućene prema zadanim postavkama, ali s mogućnosti onemogućivanja pomoću ključa registra.

14. ožujka 2023.

3. faza izdanja – promjene otežujućih promjena omogućene prema zadanim postavkama bez mogućnosti onemogućivanja. U tom trenutku morate riješiti sve probleme s kompatibilnošću s promjenama i aplikacijama koje očtenjuju u vašem okruženju.

Testiranje kompatibilnosti s otegnujućim dcom

Novi DCOM događaji pogreške

Da bismo vam pomogli prepoznati aplikacije koje bi mogle imati problema s kompatibilnošću nakon što omogućimo dcom promjene sigurnosnog otežujućih promjena, dodali smo nove DCOM događaje pogreške u zapisniku sustava. Pogledajte tablice u nastavku. Sustav će evidentirati te događaje ako otkrije da DCOM klijentska aplikacija pokušava aktivirati DCOM poslužitelj pomoću razine provjere autentičnosti koja je manja od RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Klijentski uređaj možete pratiti iz zapisnika događaja na strani poslužitelja i pomoću klijentskih zapisnika događaja pronaći aplikaciju.

Događaji poslužitelja - Naznači da poslužitelj prima zahtjeve niže razine

ID događaja

Poruku

10036

"Pravilnik razine provjere autentičnosti na strani poslužitelja ne dopušta korisniku %1\%2 SID (%3) s adrese %4 da aktivira DCOM poslužitelj. Podignite razinu provjere autentičnosti aktivacije barem na RPC_C_AUTHN_LEVEL_PKT_INTEGRITY klijentskoj aplikaciji."

(%1 – domena, %2 – korisničko ime, %3 – KORISNIČKI SID, %4 – IP adresa klijenta)

Događaji klijenta – označava koja aplikacija šalje zahtjeve niže razine

ID događaja

Poruku

10037

"Aplikacija %1 s PID-om %2 zahtijeva aktivaciju CLSID-a %3 na računalu %4 s izričito postavljenom razinu provjere autentičnosti na %5. Najniža razina provjere autentičnosti aktivacije koju zahtijeva DCOM jest 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Da biste povisiti razinu provjere autentičnosti aktivacije, obratite se dobavljaču aplikacije."

10038

"Aplikacija %1 s PID-om %2 zahtijeva aktivaciju CLSID-a %3 na računalu %4 sa zadanom provjerom autentičnosti aktivacije na %5. Najniža razina provjere autentičnosti aktivacije koju zahtijeva DCOM jest 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Da biste povisiti razinu provjere autentičnosti aktivacije, obratite se dobavljaču aplikacije."

(%1 – put aplikacije, %2 – PID aplikacije, %3 – CLSID COM klase koju aplikacija zahtijeva za aktivaciju, %4 – Naziv računala, %5 – vrijednost razine provjere autentičnosti)

Dostupnost

Ti su događaji pogreške dostupni samo za podskup verzija sustava Windows; pogledajte tablicu u nastavku.

Verzija sustava Windows

Dostupno za ove datume ili nakon njih

Windows Server 2022

27. rujna 2021.

KB5005619

Windows 10, verzija 2004, Windows 10, verzija 20H2, Windows 10, verzija 21H1

1. rujna 2021.

KB5005101

Verzija 1909 sustava Windows 10

26. kolovoza 2021.

KB5005103

Windows Server 2019, Windows 10, verzija 1809

26. kolovoza 2021.

KB5005102

Windows Server 2016, Windows 10, verzija 1607

14. rujna 2021.

KB5005573

Windows Server 2012 R2 i Windows 8.1

12. listopada 2021.

KB5006714

Windows 11, verzija 22H2

30. rujna 2022.

KB5017389

Client-side request auto-elevation patch

Razina provjere autentičnosti za sve zahtjeve za aktivaciju koji nisu anonimni

Da bismo smanjili probleme s kompatibilnošću aplikacija, automatski smo uklonili razinu provjere autentičnosti za sve neautonimne zahtjeve za aktivaciju iz DCOM klijenata utemeljenih na sustavu Windows da bi se RPC_C_AUTHN_LEVEL_PKT_INTEGRITY minimalno. Uz tu će promjenu većina zahtjeva dcom klijenta utemeljenih na sustavu Windows automatski biti prihvaćena uz omogućene promjene DCOM očjenjivanja na strani poslužitelja bez daljnje izmjene DCOM klijenta. Osim toga, većina dcom klijenata sustava Windows automatski će raditi s DCOM otežujućim promjenama na strani poslužitelja bez daljnje izmjene DCOM klijenta.

Napomena Ova zakrpa i dalje će biti obuhvaćena kumulativnim ažuriranjima.

Vremenska crta ažuriranja zakrpa

Od početnog izdanja u studenom 2022., zakrpa za automatsko uzdigiranje imala je nekoliko ažuriranja.

  • Ažuriranje za studeni 2022.

    • Ovo ažuriranje automatski je podignuto razinu provjere autentičnosti aktivacije na integritet paketa. Ta je promjena po zadanom onemogućena u sustavima Windows Server 2016 i Windows server 2019.

  • Ažuriranje za prosinac 2022.

    • Promjena studenog po zadanom je omogućena za Windows Server 2016 i Windows Server 2019.

    • Ovo je ažuriranje riješeno i problem koji je utjecanje na anonimnu aktivaciju u sustavima Windows Server 2016 i Windows Server 2019.

  • Ažuriranje za siječanj 2023.

    • Ovim je ažuriranjem riješen problem koji je utjecao na anonimnu aktivaciju na platformama sa sustava Windows Server 2008 na Windows 10 (početna verzija izdana u srpnju 2015.).

Ako ste kumulativna sigurnosna ažuriranja instalirali od siječnja 2023. na klijente i poslužitelje, ona će imati potpuno omogućenu najnoviju zakrpu za automatsko uzdignuto.

Postavka registra da biste omogućili ili onemogućili promjene s otežujućim

Tijekom faza vremenske crte u kojima možete omogućiti ili onemogućiti promjene stišćivanja za CVE-2021-26414 možete koristiti sljedeći ključ registra:

  • Put: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Naziv vrijednosti: "RequireIntegrityActivationAuthenticationLevel"

  • Vrsta: dword

  • Podaci o vrijednosti: zadano= 0x00000000 znači onemogućeno. 0x00000001 znači omogućeno. Ako ta vrijednost nije definirana, zadana će biti omogućena.

Napomena Podatke vrijednosti morate unijeti u heksadecimalnom obliku.

Važno Uređaj morate ponovno pokrenuti nakon postavljanja ključa registra da bi stupio na snagu.

Napomena Ako omogućite gore navedeni ključ registra, DCOM poslužitelji nameću Authentication-Level ili RPC_C_AUTHN_LEVEL_PKT_INTEGRITY više za aktivaciju. To ne utječe na anonimnu aktivaciju (aktivacija pomoću razine provjere autentičnosti RPC_C_AUTHN_LEVEL_NONE). Ako DCOM poslužitelj dopušta anonimnu aktivaciju, i dalje će biti dopušten čak i kada su omogućene promjene dcom otegljivanja.

Napomena Ta vrijednost registra ne postoji po zadanom; morate ga stvoriti. Windows će je pročitati ako postoji i neće ga prebrisati.

Napomena Instalacija kasnijih ažuriranja neće mijenjati ni uklanjati postojeće unose i postavke registra.

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.