Kopsavilkums
2021. gada 13. Windows atjaunināšana un jaunākas versijas Windows nodrošina CVE-2021-33757 aizsardzību.
Pēc 2021. gada 13. jūlija Windows atjauninājumu vai jaunākas versijas Windows atjauninājumu instalēšanas Windows klientiem ieteicamā metode būs uzlabotās šifrēšanas standarta (AES) šifrēšana, izmantojot mantoto MS-SAMR protokolu paroļu operācijām, ja SAM serveris atbalsta AES šifrēšanu. Ja SAM serveris neatbalsta AES šifrēšanu, tiks atļauta atkāpšanās uz mantoto RC4 šifrēšanu.
Izmaiņas CVE-20201-33757 ir raksturīgas MS-SAMR protokolam un nav atkarīgas no citiem autentifikācijas protokoliem. MS-SAMR izmanto SMB pār RPC un nosauktos programmkanālus. Lai gan SMB atbalsta arī šifrēšanu, tā pēc noklusējuma nav iespējota. Pēc noklusējuma CVE-20201-33757 izmaiņas ir iespējotas un nodrošina papildu drošību SAM slānī. Papildus nav jāveic papildu konfigurācijas izmaiņas, ne arī CVE-20201-33757 aizsardzība, kas iekļauta 2021. gada 13. jūlija Windows atjauninājumos vai jaunākos Windows atjauninājumos visās atbalstītās Windows versijās. Neatbalstītās lietojumprogrammu Windows ir jāpārtrauc vai jājaunina uz atbalstītu versiju.
Piezīme. CVE-2021-33757 modificē tikai to, kā paroles tiek šifrētas, tos šifrējot, izmantojot noteiktus MS-SAMR protokola API un jo īpaši NEMODificĒ TO, kā paroles tiek glabātas diemāvē. Papildinformāciju par paroļu šifrēšanu, novietojot tās Active Directory vietā un lokāli SAM datu bāzē (reģistrā), skatiet rakstā Paroļu pārskats.
Papildinformācija
-
Password change pattern
Atjauninājumi modificē protokola paroles maiņas modeli, pievienojot jaunu paroles maiņas metodi, kas izmantos AES.
Veca metode ar RC4
Jauna metode, izmantojot AES
SamrUranddeChangePasswordUser2 (OpNum 55)
SamrUranddeChangePasswordUser4 (OpNum 73)
Pilnu MS-SAMR OpNums sarakstu skatiet rakstā Ziņojumu apstrādes notikumi un sequencing kārtulas.
-
Password set pattern
Atjauninājumi modificē protokola paroles kopas modeli, pievienojot divas jaunas lietotāja informācijas klases metodei SamrSetInformationUser2 (Opnum 58). Paroles informāciju varat iestatīt, kā norādīts tālāk.
Veca metode ar RC4
Jauna metode, izmantojot AES
SamrSetInformationUser2 (Opnum 58) kopā ar UserInternal4InformationNew, kurā ir šifrēta lietotāja parole ar RC4.
SamrSetInformationUser2 (Opnum 58) kopā ar UserInternal8Information, kurā ir šifrēta lietotāja parole, izmantojot AES.
SamrSetInformationUser2 (Opnum 58) kopā ar UserInternal5InformationNew, kurā ir šifrēta lietotāja parole ar RC4 un visiem citiem lietotāju atribūtiem.
SamrSetInformationUser2 (Opnum 58) kopā ar UserInternal7Information, kurā ir šifrēta parole ar AES un visiem citiem lietotāja atribūtiem.
Esošā SamrConnect5 metode parasti tiek izmantota, lai izveidotu savienojumu starp SAM klientu un serveri.
Atjaunināts serveris tagad atgriezīs jaunu bitu SamrConnect5() atbildē, kā definēts SAMPR_REVISION_INFO_V1.
Vērtība |
Nozīme |
0x00000010 |
Ja klients saņem apliecinājumu, šī vērtība (ja tā ir iestatīta) norāda, ka klientam jāizmanto AES šifrēšana ar SAMPR_ENCRYPTED_PASSWORD_AES struktūru, lai šifrētu paroles buferus, ja tie tiek nosūtīti, izmantojot vadu. Skatiet AES Cipher lietojumu (3.2.2.4.sadaļa) un SAMPR_ENCRYPTED_PASSWORD_AES (2.2.6.32. sadaļa). |
Ja atjauninātais serveris atbalsta AES, klients izmanto jaunas metodes un jaunas informācijas klases paroļu operācijām. Ja serveris neatgriež šo karodziņu vai klients nav atjaunināts, klients atgriezīsies iepriekšējām metodēm ar RC4 šifrēšanu.
Paroļu iestatīšanas darbībām ir nepieciešams rakstāms domēna kontrolleris (RWDC). Paroles izmaiņas RWDC pārsūta tikai lasāma domēna kontrollera (Read Only Domain Controller – RODC). Lai varētu izmantot AES, ir jāatjaunina visas ierīces. Piemērs.
-
Ja klients, RODC vai RWDC nav atjaunināts, tiks izmantota RC4 šifrēšana.
-
Ja klients, RODC un RWDC tiek atjaunināti, tiks izmantota AES šifrēšana.
2021. gada 13. jūlija atjauninājumi sistēmas žurnālam pievieno četrus jaunus notikumus, lai palīdzētu noteikt ierīces, kas nav atjauninātas, un uzlabotu drošību.
-
Konfigurācijas stāvokļa notikuma ID 16982 vai 16983 tiek reģistrēts startēšanas laikā vai pēc reģistra konfigurācijas maiņas.
Notikuma ID 16982Notikumu žurnāls
Sistēma
Notikuma avots
Directory-Services-SAM
Notikuma ID
16982
Līmenis
Informācija
Notikuma ziņojuma teksts
Drošības kontu pārvaldnieks tagad reģistrēšanas izvērsti notikumi attālajiem klientiem, kas izsauc mantoto paroles maiņu vai iestata RPC metodes. Šis iestatījums var izraisīt lielu ziņojumu skaitu, un to vajadzētu izmantot tikai īsu laika periodu problēmu diagnosticēē.
Notikumu žurnāls
Sistēma
Notikuma avots
Directory-Services-SAM
Notikuma ID
16983
Līmenis
Informācija
Notikuma ziņojuma teksts
Drošības kontu pārvaldnieks tagad veic periodisku kopsavilkuma notikumu reģistrēšanu attālajiem klientiem, kas izsauc mantoto paroles maiņu vai iestata RPC metodes.
-
Pēc 2021. gada 13. jūlija atjauninājuma lietošanas kopsavilkuma notikums 16984 tiek reģistrēts sistēmas notikumu žurnālā ik pēc 60 minūtēm.
Notikuma ID 16984Notikumu žurnāls
Sistēma
Notikuma avots
Directory-Services-SAM
Notikuma ID
16984
Līmenis
Informācija
Notikuma ziņojuma teksts
Drošības kontu pārvaldnieks konstatēja %x mantoto paroles maiņu vai iestatīja RPC metodes izsaukumus pēdējo 60 minūšu laikā.
-
Pēc izvērstās darbības notikumu reģistrēšanas konfigurēšana notikuma ID 16985 tiek reģistrēts sistēmas notikumu žurnālā ikreiz, kad tiek izmantota mantota RPC metode, lai mainītu vai iestatītu konta paroli.
Notikuma ID 16985Notikumu žurnāls
Sistēma
Notikuma avots
Directory-Services-SAM
Notikuma ID
16985
Līmenis
Informācija
Notikuma ziņojuma teksts
Drošības kontu pārvaldnieks konstatēja mantoto izmaiņu izmantošanu vai iestatīja RPC metodi no tīkla klienta. Apsveriet iespēju jaunināt klienta operētājsistēmu vai lietojumprogrammu, lai izmantotu šīs metodes jaunāko un drošāko versiju.
Detalizēta informācija:
RPC metode: %1
Klienta tīkla adrese: %2
Klienta SID: %3
Lietotājvārds: %4
Lai pieteiktos izvērstā notikuma ID 16985, pārslēdziet tālāk norādīto reģistra vērtību serverī vai domēna kontrollerī.
Ceļš
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Tips
REG_DWORD
Vērtības nosaukums
AuditLegacyPasswordRpcMethods
Vērtības dati
1 = iespējota verbose reģistrēšana
0 vai nav = izvērstās reģistrēšanas iestatījums ir atspējots. Tikai kopsavilkuma notikumi. (Noklusējums)
Kā aprakstīts rakstā SamrUkartadeChangePasswordUser4 (Opnum 73), kad izmantojat jauno metodi SamrUuserChangePasswordUser4, klients un serveris izmanto PBKDF2 algoritmu, lai no vecās vienkārša teksta paroles iegūtu šifrēšanu un atšifrēšanu. Tas ir tāpēc, ka vecā parole ir vienīgais izplatītais noslēpums, kas ir zināms gan serverim, gan klientam.
Papildinformāciju par PBKDF2 skatiet rakstā Funkcija BCryptDeriveKeyPBKDF2 (bcrypt.h).
Ja izmaiņas ir jāveic veiktspējas un drošības apsvērumu dēļ, varat pielāgot klienta paroles maiņas PBKDF2 iterāciju skaitu, klientam iestatot šādu reģistra vērtību.
Piezīme.: Samazinot PBKDF2 iterāciju skaitu, samazinās drošība. Nav ieteicams samazināt skaitli, izmantojot noklusējumu. Tomēr ieteicams izmantot iespējami lielāko PBKDF2 iterāciju skaitu.
Ceļš |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Tips |
REG_DWORD |
Vērtības nosaukums |
PBKDF2Iterations |
Vērtības dati |
No 5000 līdz maksimāli 1 000 000 |
Vērtības noklusējums |
10,000 |
Piezīme.: PBKDF2 netiek izmantots paroļu iestatīšanas operācijām. Paroļu iestatīšanas operācijām SMB sesijas atslēga ir koplietots noslēpums starp klientu un serveri un tiek izmantots, lai iegūtu šifrēšanas atslēgas.
Papildinformāciju skatiet rakstā SMB sesijas atslēgas iegūšana.
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
Pazemināšana notiek, ja serveris vai klients neatbalsta AES.
Atjaunināti serveri reģistrē notikumus, ja tiek izmantotas mantotās metodes ar RC4.
Pašlaik nav pieejams ieviešanas režīms, taču iespējams, ka tas būs nākotnē. Mums nav datuma.
Ja trešās puses ierīce nelieto SAMR protokolu, tas nav svarīgi. Trešo pušu piegādātāji, kuri ievieš MS-SAMR protokolu, var izvēlēties to ieviest. Ja ir kādi jautājumi, sazinieties ar trešās puses piegādātāju.
Nekādas papildu izmaiņas nav nepieciešamas.
Šis protokols ir mantots, un mēs paredzam, ka tā izmantošana ir ļoti zema. Mantotās lietojumprogrammas var izmantot šos API. Turklāt daži Active Directory rīki, piemēram, AD lietotāji un datori MMC, izmanto SAMR.
nē. Tiek ietekmētas tikai tās paroles izmaiņas, kas izmanto šos konkrētos SAMR API.
jā. PBKDF2 ir dārga nekā RC4. Ja domēna kontrollerī, zvanot uz SamrUhanadeChangePasswordUser4 API, vienlaikus tiek veiktas daudzas paroles izmaiņas, var tikt ietekmēta LSASS centrālā procesora slodze. Ja nepieciešams, klientu PBKDF2 iterācijas varat pielāgot, tomēr mēs neiesakām samazināties no noklusējuma, jo šādi samazinās drošība.
Atsauces
Autentificēta šifrēšana ar AES-CBC un HMAC-SHA
Informatīva atruna saistībā ar trešajām pusēm
Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja brīdinājuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.