Ringkasan

Tanggal 13 Juli 2021, Windows tanggal Windows yang lebih baru menambahkan proteksi untuk ESCUDO-2021-33757.

Setelah menginstal pembaruan Windows 13 Juli 2021 atau yang lebih baru Windows, enkripsi Advanced Encryption Standard (AES) akan menjadi metode pilihan pada klien Windows saat menggunakan protokol MS-SAMR warisan untuk operasi kata sandi jika enkripsi AES didukung oleh server SAM. Jika enkripsi AES tidak didukung oleh server SAM, enkripsi RC4 warisan akan diizinkan.

Perubahan dalam PROTOCOL-20201-33757 khusus untuk protokol MS-SAMR dan tidak terkait dengan protokol autentikasi lainnya. MS-SAMR menggunakan SMB melalui RPC dan pipa bernama. Meskipun SMB juga mendukung enkripsi, SMB tidak diaktifkan secara default. Secara default, perubahan dalam PROTOCOL-20201-33757 diaktifkan dan menyediakan keamanan tambahan pada lapisan SAM. Tidak ada perubahan konfigurasi tambahan yang diperlukan selain menginstal perlindungan untuk pembaruan Windows 13 Juli 20201-33757 yang disertakan dalam pembaruan Windows 13 Juli 2021 atau Windows yang lebih baru di semua versi Windows yang didukung. Versi versi uji Windows akan dihentikan atau dimutakhirkan ke versi yang didukung.

Catatan KERBEROS-2021-33757 hanya mengubah bagaimana kata sandi dienkripsi saat transit ketika menggunakan API tertentu dari protokol MS-SAMR dan secara khusus JANGAN mengubah cara kata sandi disimpan ketika disimpan. Untuk informasi selengkapnya tentang cara enkripsi kata sandi dalam Direktori Aktif dan secara lokal dalam Database SAM (registri), lihat Gambaran Umum Kata Sandi.

Informasi selengkapnya  

Metode SamrConnect5 yang sudah ada biasanya digunakan untuk membuat koneksi antara klien SAM dan server.

Server yang diperbarui kini akan mengembalikan bit baru dalam respons SamrConnect5() seperti yang dijelaskan dalam SAMPR_REVISION_INFO_V1

Nilai

Arti

0x00000010

Pada tanda terima oleh klien, nilai ini, saat diatur, mengindikasikan bahwa klien harus menggunakan Enkripsi AES dengan struktur SAMPR_ENCRYPTED_PASSWORD_AES untuk mengenkripsi buffer kata sandi ketika dikirim melalui kabel. Lihat Penggunaan AES Cipher (bagian 3.2.2.4) dan SAMPR_ENCRYPTED_PASSWORD_AES (bagian 2.2.6.32).

Jika server yang diperbarui mendukung AES, klien akan menggunakan metode dan kelas informasi baru untuk operasi kata sandi. Jika server tidak mengembalikan bendera ini atau jika klien tidak diperbarui, klien akan kembali menggunakan metode sebelumnya dengan enkripsi RC4.

Operasi Kumpulan Kata Sandi memerlukan pengontrol domain yang dapat ditulis (RWDC). Perubahan kata sandi diteruskan oleh Pengontrol Domain Baca Saja (RWDC, Read Only Domain Controller) ke RWDC. Semua perangkat harus diperbarui agar AES dapat digunakan. Misalnya:

  • Jika klien, FTPC atau RWDC tidak diperbarui, enkripsi RC4 akan digunakan.

  • Jika klien, DCC dan RWDC diperbarui, enkripsi AES akan digunakan.

Pembaruan 13 Juli 2021 menambahkan empat kejadian baru ke log sistem untuk membantu mengidentifikasi perangkat yang tidak diperbarui dan membantu meningkatkan keamanan.

  • Status konfigurasi ID Kejadian 16982 atau 16983 dicatat saat dimulai atau saat konfigurasi registri berubah.ID Kejadian 16982

    Log kejadian

    Sistem

    Sumber kejadian

    Directory-Services-SAM

    ID Kejadian

    16982

    Tingkat

    Informasi

    Teks pesan acara

    Manajer akun keamanan kini melakukan pembuatan log kejadian verbose untuk klien jarak jauh yang menghubungi perubahan kata sandi warisan atau mengatur metode RPC. Pengaturan ini dapat menyebabkan sejumlah besar pesan dan hanya dapat digunakan untuk beberapa saat untuk mendiagnosis masalah dalam waktu singkat.

    ID Kejadian 16983

    Log kejadian

    Sistem

    Sumber kejadian

    Directory-Services-SAM

    ID Kejadian

    16983

    Tingkat

    Informasi

    Teks pesan acara

    Manajer akun keamanan kini membuat log kejadian ringkasan berkala untuk klien jarak jauh yang menghubungi perubahan kata sandi warisan atau mengatur metode RPC.

  • Setelah menerapkan pembaruan 13 Juli 2021, Kejadian Ringkasan 16984 dicatat ke log kejadian Sistem setiap 60 menit.ID Kejadian 16984

    Log kejadian

    Sistem

    Sumber kejadian

    Directory-Services-SAM

    ID Kejadian

    16984

    Tingkat

    Informasi

    Teks pesan acara

    Manajer akun keamanan mendeteksi perubahan kata sandi warisan %x atau mengatur panggilan metode RPC dalam 60 menit terakhir.

  • Setelah mengonfigurasi pembuatan log kejadian verbose, ID Kejadian 16985 dicatat ke log kejadian Sistem setiap kali metode RPC warisan digunakan untuk mengubah atau mengatur kata sandi akun.ID Kejadian 16985

    Log kejadian

    Sistem

    Sumber kejadian

    Directory-Services-SAM

    ID Kejadian

    16985

    Tingkat

    Informasi

    Teks pesan acara

    Manajer akun keamanan mendeteksi penggunaan perubahan warisan atau mengatur metode RPC dari klien jaringan. Pertimbangkan untuk memutakhirkan sistem operasi klien atau aplikasi agar menggunakan versi terbaru dan lebih aman dari metode ini.

    Detail:

    Metode RPC: %1

    Alamat Jaringan Klien: %2

    SID Klien: %3

    Nama Pengguna: %4 

    Untuk membuat log ID Kejadian verbose 16985, ubah nilai registri berikut ini pada server atau pengontrol domain.

    Jalur

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Jenis

    REG_DWORD

    Nama nilai

    AuditLegacyPasswordRpcMethods

    Data nilai

     1 = pembuatan log verbose diaktifkan

     0 atau tidak ada = pembuatan log verbose dinonaktifkan. Hanya acara ringkasan. (Default)

Seperti yang dijelaskan di SamrUnicodeChangePasswordUser4 (Opnum 73), saat Anda menggunakan metode baru SamrUnicodeChangePasswordUser4, klien dan server akan menggunakan PBKDF2 Algorithm untuk mendapatkan enkripsi dan mendekripsi kunci dari kata sandi lama teks biasa. Ini karena kata sandi lama adalah satu-satunya rahasia umum yang diketahui baik untuk server dan klien.  

Untuk informasi selengkapnya tentang PBKDF2, lihat fungsi BCryptDeriveKeyPBKDF2 (bcrypt.h).

Jika harus membuat perubahan untuk alasan kinerja dan keamanan, Anda dapat menyesuaikan jumlah per iterasi PBKDF2 yang digunakan oleh klien untuk perubahan kata sandi dengan mengatur nilai registri berikut pada klien.

Catatan: Mengurangi jumlah per iterasi PBKDF2 akan mengurangi keamanan.  Kami tidak menyarankan agar jumlahnya berkurang dari default. Namun, kami menyarankan Anda untuk menggunakan jumlah per iterasi PBKDF2 tertinggi.

Jalur 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Jenis 

REG_DWORD 

Nama nilai 

PBKDF2Iterations 

Data nilai 

Minimum 5.000 hingga maksimal 1.000.000

Default nilai 

10,000  

Catatan: PBKDF2 tidak digunakan untuk operasi kumpulan kata sandi. Untuk operasi kumpulan kata sandi, kunci sesi SMB adalah rahasia bersama antara klien dan server, dan digunakan sebagai dasar untuk mendapatkan kunci enkripsi. 

Untuk informasi selengkapnya, lihat Mendapatkan Kunci Sesi SMB.

Tanya Jawab Umum (Faq)

Penurunan tingkat terjadi saat server atau klien tidak mendukung AES.   

Server yang diperbarui akan mencatat kejadian saat metode warisan dengan RC4 digunakan. 

Saat ini tidak ada mode penerapan yang tersedia tapi mungkin ada di masa mendatang. Kami belum memiliki tanggal. 

Jika perangkat pihak ketiga tidak menggunakan protokol SAMR, hal ini tidak penting. Vendor pihak ketiga yang mengimplementasikan protokol MS-SAMR mungkin memilih untuk mengimplementasikannya. Hubungi vendor pihak ketiga untuk pertanyaan apa pun. 

Tidak diperlukan perubahan lain.  

Protokol ini warisan, dan kami antisipasi penggunaannya sangat rendah. Aplikasi warisan dapat menggunakan API ini. Juga, beberapa alat Direktori Aktif seperti Pengguna AD dan Komputer MMC menggunakan SAMR.

Tidak. Hanya perubahan kata sandi yang menggunakan API SAMR khusus ini yang akan terpengaruh.

Ya. PBKDF2 lebih mahal daripada RC4. Jika ada banyak perubahan kata sandi yang terjadi pada saat yang sama pada pengontrol domain yang memanggil API SamrUnicodeChangePasswordUser4, beban CPU LSASS mungkin akan terpengaruh. Anda dapat menyelaraskan per iterasi PBKDF2 pada klien jika diperlukan, namun kami tidak menyarankan penurunan dari default karena hal ini akan menurunkan keamanan.  

Referensi

Enkripsi Terautentikasi dengan AES-CBC dan HMAC-SHA

Penggunaan AES Cipher

Sanggahan informasi pihak ketiga

Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Kami tidak menjamin akurasi informasi kontak pihak ketiga ini.

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.