Ringkasan
Tanggal 13 Juli 2021, Windows tanggal Windows yang lebih baru menambahkan proteksi untuk ESCUDO-2021-33757.
Setelah menginstal pembaruan Windows 13 Juli 2021 atau yang lebih baru Windows, enkripsi Advanced Encryption Standard (AES) akan menjadi metode pilihan pada klien Windows saat menggunakan protokol MS-SAMR warisan untuk operasi kata sandi jika enkripsi AES didukung oleh server SAM. Jika enkripsi AES tidak didukung oleh server SAM, enkripsi RC4 warisan akan diizinkan.
Perubahan dalam PROTOCOL-20201-33757 khusus untuk protokol MS-SAMR dan tidak terkait dengan protokol autentikasi lainnya. MS-SAMR menggunakan SMB melalui RPC dan pipa bernama. Meskipun SMB juga mendukung enkripsi, SMB tidak diaktifkan secara default. Secara default, perubahan dalam PROTOCOL-20201-33757 diaktifkan dan menyediakan keamanan tambahan pada lapisan SAM. Tidak ada perubahan konfigurasi tambahan yang diperlukan selain menginstal perlindungan untuk pembaruan Windows 13 Juli 20201-33757 yang disertakan dalam pembaruan Windows 13 Juli 2021 atau Windows yang lebih baru di semua versi Windows yang didukung. Versi versi uji Windows akan dihentikan atau dimutakhirkan ke versi yang didukung.
Catatan KERBEROS-2021-33757 hanya mengubah bagaimana kata sandi dienkripsi saat transit ketika menggunakan API tertentu dari protokol MS-SAMR dan secara khusus JANGAN mengubah cara kata sandi disimpan ketika disimpan. Untuk informasi selengkapnya tentang cara enkripsi kata sandi dalam Direktori Aktif dan secara lokal dalam Database SAM (registri), lihat Gambaran Umum Kata Sandi.
Informasi selengkapnya
-
Pola perubahan kata sandi
Pembaruan tersebut mengubah pola perubahan kata sandi protokol dengan menambahkan metode perubahan kata sandi baru yang akan menggunakan AES.
Metode Lama dengan RC4
Metode Baru dengan AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
For complete list of MS-SAMR OpNums, see Message Processing Events and Sequencing Rules.
-
Pola kumpulan kata sandi
Pembaruan memodifikasi pola kumpulan kata sandi protokol dengan menambahkan dua Kelas Informasi Pengguna baru ke metode SamrSetInformationUser2 (Opnum 58). Anda dapat mengatur informasi kata sandi sebagai berikut.
Metode Lama dengan RC4
Metode Baru dengan AES
SamrSetInformationUser2 (Opnum 58) bersama dengan UserInternal4InformationNew yang menyimpan kata sandi pengguna terenkripsi dengan RC4.
SamrSetInformationUser2 (Opnum 58) bersama dengan UserInternal8Information yang menyimpan kata sandi pengguna terenkripsi dengan AES.
SamrSetInformationUser2 (Opnum 58) bersama dengan UserInternal5InformationNew yang menyimpan kata sandi pengguna terenkripsi dengan RC4 dan semua atribut pengguna lainnya.
SamrSetInformationUser2 (Opnum 58) bersama dengan UserInternal7Information yang menyimpan kata sandi terenkripsi dengan AES dan semua atribut pengguna lain.
Metode SamrConnect5 yang sudah ada biasanya digunakan untuk membuat koneksi antara klien SAM dan server.
Server yang diperbarui kini akan mengembalikan bit baru dalam respons SamrConnect5() seperti yang dijelaskan dalam SAMPR_REVISION_INFO_V1.
Nilai |
Arti |
0x00000010 |
Pada tanda terima oleh klien, nilai ini, saat diatur, mengindikasikan bahwa klien harus menggunakan Enkripsi AES dengan struktur SAMPR_ENCRYPTED_PASSWORD_AES untuk mengenkripsi buffer kata sandi ketika dikirim melalui kabel. Lihat Penggunaan AES Cipher (bagian 3.2.2.4) dan SAMPR_ENCRYPTED_PASSWORD_AES (bagian 2.2.6.32). |
Jika server yang diperbarui mendukung AES, klien akan menggunakan metode dan kelas informasi baru untuk operasi kata sandi. Jika server tidak mengembalikan bendera ini atau jika klien tidak diperbarui, klien akan kembali menggunakan metode sebelumnya dengan enkripsi RC4.
Operasi Kumpulan Kata Sandi memerlukan pengontrol domain yang dapat ditulis (RWDC). Perubahan kata sandi diteruskan oleh Pengontrol Domain Baca Saja (RWDC, Read Only Domain Controller) ke RWDC. Semua perangkat harus diperbarui agar AES dapat digunakan. Misalnya:
-
Jika klien, FTPC atau RWDC tidak diperbarui, enkripsi RC4 akan digunakan.
-
Jika klien, DCC dan RWDC diperbarui, enkripsi AES akan digunakan.
Pembaruan 13 Juli 2021 menambahkan empat kejadian baru ke log sistem untuk membantu mengidentifikasi perangkat yang tidak diperbarui dan membantu meningkatkan keamanan.
-
Status konfigurasi ID Kejadian 16982 atau 16983 dicatat saat dimulai atau saat konfigurasi registri berubah.
ID Kejadian 16982Log kejadian
Sistem
Sumber kejadian
Directory-Services-SAM
ID Kejadian
16982
Tingkat
Informasi
Teks pesan acara
Manajer akun keamanan kini melakukan pembuatan log kejadian verbose untuk klien jarak jauh yang menghubungi perubahan kata sandi warisan atau mengatur metode RPC. Pengaturan ini dapat menyebabkan sejumlah besar pesan dan hanya dapat digunakan untuk beberapa saat untuk mendiagnosis masalah dalam waktu singkat.
Log kejadian
Sistem
Sumber kejadian
Directory-Services-SAM
ID Kejadian
16983
Tingkat
Informasi
Teks pesan acara
Manajer akun keamanan kini membuat log kejadian ringkasan berkala untuk klien jarak jauh yang menghubungi perubahan kata sandi warisan atau mengatur metode RPC.
-
Setelah menerapkan pembaruan 13 Juli 2021, Kejadian Ringkasan 16984 dicatat ke log kejadian Sistem setiap 60 menit.
ID Kejadian 16984Log kejadian
Sistem
Sumber kejadian
Directory-Services-SAM
ID Kejadian
16984
Tingkat
Informasi
Teks pesan acara
Manajer akun keamanan mendeteksi perubahan kata sandi warisan %x atau mengatur panggilan metode RPC dalam 60 menit terakhir.
-
Setelah mengonfigurasi pembuatan log kejadian verbose, ID Kejadian 16985 dicatat ke log kejadian Sistem setiap kali metode RPC warisan digunakan untuk mengubah atau mengatur kata sandi akun.
ID Kejadian 16985Log kejadian
Sistem
Sumber kejadian
Directory-Services-SAM
ID Kejadian
16985
Tingkat
Informasi
Teks pesan acara
Manajer akun keamanan mendeteksi penggunaan perubahan warisan atau mengatur metode RPC dari klien jaringan. Pertimbangkan untuk memutakhirkan sistem operasi klien atau aplikasi agar menggunakan versi terbaru dan lebih aman dari metode ini.
Detail:
Metode RPC: %1
Alamat Jaringan Klien: %2
SID Klien: %3
Nama Pengguna: %4
Untuk membuat log ID Kejadian verbose 16985, ubah nilai registri berikut ini pada server atau pengontrol domain.
Jalur
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Jenis
REG_DWORD
Nama nilai
AuditLegacyPasswordRpcMethods
Data nilai
1 = pembuatan log verbose diaktifkan
0 atau tidak ada = pembuatan log verbose dinonaktifkan. Hanya acara ringkasan. (Default)
Seperti yang dijelaskan di SamrUnicodeChangePasswordUser4 (Opnum 73), saat Anda menggunakan metode baru SamrUnicodeChangePasswordUser4, klien dan server akan menggunakan PBKDF2 Algorithm untuk mendapatkan enkripsi dan mendekripsi kunci dari kata sandi lama teks biasa. Ini karena kata sandi lama adalah satu-satunya rahasia umum yang diketahui baik untuk server dan klien.
Untuk informasi selengkapnya tentang PBKDF2, lihat fungsi BCryptDeriveKeyPBKDF2 (bcrypt.h).
Jika harus membuat perubahan untuk alasan kinerja dan keamanan, Anda dapat menyesuaikan jumlah per iterasi PBKDF2 yang digunakan oleh klien untuk perubahan kata sandi dengan mengatur nilai registri berikut pada klien.
Catatan: Mengurangi jumlah per iterasi PBKDF2 akan mengurangi keamanan. Kami tidak menyarankan agar jumlahnya berkurang dari default. Namun, kami menyarankan Anda untuk menggunakan jumlah per iterasi PBKDF2 tertinggi.
Jalur |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Jenis |
REG_DWORD |
Nama nilai |
PBKDF2Iterations |
Data nilai |
Minimum 5.000 hingga maksimal 1.000.000 |
Default nilai |
10,000 |
Catatan: PBKDF2 tidak digunakan untuk operasi kumpulan kata sandi. Untuk operasi kumpulan kata sandi, kunci sesi SMB adalah rahasia bersama antara klien dan server, dan digunakan sebagai dasar untuk mendapatkan kunci enkripsi.
Untuk informasi selengkapnya, lihat Mendapatkan Kunci Sesi SMB.
Tanya Jawab Umum (Faq)
Penurunan tingkat terjadi saat server atau klien tidak mendukung AES.
Server yang diperbarui akan mencatat kejadian saat metode warisan dengan RC4 digunakan.
Saat ini tidak ada mode penerapan yang tersedia tapi mungkin ada di masa mendatang. Kami belum memiliki tanggal.
Jika perangkat pihak ketiga tidak menggunakan protokol SAMR, hal ini tidak penting. Vendor pihak ketiga yang mengimplementasikan protokol MS-SAMR mungkin memilih untuk mengimplementasikannya. Hubungi vendor pihak ketiga untuk pertanyaan apa pun.
Tidak diperlukan perubahan lain.
Protokol ini warisan, dan kami antisipasi penggunaannya sangat rendah. Aplikasi warisan dapat menggunakan API ini. Juga, beberapa alat Direktori Aktif seperti Pengguna AD dan Komputer MMC menggunakan SAMR.
Tidak. Hanya perubahan kata sandi yang menggunakan API SAMR khusus ini yang akan terpengaruh.
Ya. PBKDF2 lebih mahal daripada RC4. Jika ada banyak perubahan kata sandi yang terjadi pada saat yang sama pada pengontrol domain yang memanggil API SamrUnicodeChangePasswordUser4, beban CPU LSASS mungkin akan terpengaruh. Anda dapat menyelaraskan per iterasi PBKDF2 pada klien jika diperlukan, namun kami tidak menyarankan penurunan dari default karena hal ini akan menurunkan keamanan.
Referensi
Enkripsi Terautentikasi dengan AES-CBC dan HMAC-SHA
Sanggahan informasi pihak ketiga
Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Kami tidak menjamin akurasi informasi kontak pihak ketiga ini.