Kopsavilkums

2021. gada 13. Windows atjaunināšana un jaunākas versijas Windows nodrošina CVE-2021-33757 aizsardzību.

Pēc 2021. gada 13. jūlija Windows atjauninājumu vai jaunākas versijas Windows atjauninājumu instalēšanas Windows klientiem ieteicamā metode būs uzlabotās šifrēšanas standarta (AES) šifrēšana, izmantojot mantoto MS-SAMR protokolu paroļu operācijām, ja SAM serveris atbalsta AES šifrēšanu. Ja SAM serveris neatbalsta AES šifrēšanu, tiks atļauta atkāpšanās uz mantoto RC4 šifrēšanu.

Izmaiņas CVE-20201-33757 ir raksturīgas MS-SAMR protokolam un nav atkarīgas no citiem autentifikācijas protokoliem. MS-SAMR izmanto SMB pār RPC un nosauktos programmkanālus. Lai gan SMB atbalsta arī šifrēšanu, tā pēc noklusējuma nav iespējota. Pēc noklusējuma CVE-20201-33757 izmaiņas ir iespējotas un nodrošina papildu drošību SAM slānī. Papildus nav jāveic papildu konfigurācijas izmaiņas, ne arī CVE-20201-33757 aizsardzība, kas iekļauta 2021. gada 13. jūlija Windows atjauninājumos vai jaunākos Windows atjauninājumos visās atbalstītās Windows versijās. Neatbalstītās lietojumprogrammu Windows ir jāpārtrauc vai jājaunina uz atbalstītu versiju.

Piezīme. CVE-2021-33757 modificē tikai to, kā paroles tiek šifrētas, tos šifrējot, izmantojot noteiktus MS-SAMR protokola API un jo īpaši NEMODificĒ TO, kā paroles tiek glabātas diemāvē. Papildinformāciju par paroļu šifrēšanu, novietojot tās Active Directory vietā un lokāli SAM datu bāzē (reģistrā), skatiet rakstā Paroļu pārskats.

Papildinformācija  

Esošā SamrConnect5 metode parasti tiek izmantota, lai izveidotu savienojumu starp SAM klientu un serveri.

Atjaunināts serveris tagad atgriezīs jaunu bitu SamrConnect5() atbildē, kā definēts SAMPR_REVISION_INFO_V1. 

Vērtība

Nozīme

0x00000010

Ja klients saņem apliecinājumu, šī vērtība (ja tā ir iestatīta) norāda, ka klientam jāizmanto AES šifrēšana ar SAMPR_ENCRYPTED_PASSWORD_AES struktūru, lai šifrētu paroles buferus, ja tie tiek nosūtīti, izmantojot vadu. Skatiet AES Cipher lietojumu (3.2.2.4.sadaļa) un SAMPR_ENCRYPTED_PASSWORD_AES (2.2.6.32. sadaļa).

Ja atjauninātais serveris atbalsta AES, klients izmanto jaunas metodes un jaunas informācijas klases paroļu operācijām. Ja serveris neatgriež šo karodziņu vai klients nav atjaunināts, klients atgriezīsies iepriekšējām metodēm ar RC4 šifrēšanu.

Paroļu iestatīšanas darbībām ir nepieciešams rakstāms domēna kontrolleris (RWDC). Paroles izmaiņas RWDC pārsūta tikai lasāma domēna kontrollera (Read Only Domain Controller – RODC). Lai varētu izmantot AES, ir jāatjaunina visas ierīces. Piemērs.

  • Ja klients, RODC vai RWDC nav atjaunināts, tiks izmantota RC4 šifrēšana.

  • Ja klients, RODC un RWDC tiek atjaunināti, tiks izmantota AES šifrēšana.

2021. gada 13. jūlija atjauninājumi sistēmas žurnālam pievieno četrus jaunus notikumus, lai palīdzētu noteikt ierīces, kas nav atjauninātas, un uzlabotu drošību.

  • Konfigurācijas stāvokļa notikuma ID 16982 vai 16983 tiek reģistrēts startēšanas laikā vai pēc reģistra konfigurācijas maiņas.Notikuma ID 16982

    Notikumu žurnāls

    Sistēma

    Notikuma avots

    Directory-Services-SAM

    Notikuma ID

    16982

    Līmenis

    Informācija

    Notikuma ziņojuma teksts

    Drošības kontu pārvaldnieks tagad reģistrēšanas izvērsti notikumi attālajiem klientiem, kas izsauc mantoto paroles maiņu vai iestata RPC metodes. Šis iestatījums var izraisīt lielu ziņojumu skaitu, un to vajadzētu izmantot tikai īsu laika periodu problēmu diagnosticēē.

    Notikuma ID 16983

    Notikumu žurnāls

    Sistēma

    Notikuma avots

    Directory-Services-SAM

    Notikuma ID

    16983

    Līmenis

    Informācija

    Notikuma ziņojuma teksts

    Drošības kontu pārvaldnieks tagad veic periodisku kopsavilkuma notikumu reģistrēšanu attālajiem klientiem, kas izsauc mantoto paroles maiņu vai iestata RPC metodes.

  • Pēc 2021. gada 13. jūlija atjauninājuma lietošanas kopsavilkuma notikums 16984 tiek reģistrēts sistēmas notikumu žurnālā ik pēc 60 minūtēm.Notikuma ID 16984

    Notikumu žurnāls

    Sistēma

    Notikuma avots

    Directory-Services-SAM

    Notikuma ID

    16984

    Līmenis

    Informācija

    Notikuma ziņojuma teksts

    Drošības kontu pārvaldnieks konstatēja %x mantoto paroles maiņu vai iestatīja RPC metodes izsaukumus pēdējo 60 minūšu laikā.

  • Pēc izvērstās darbības notikumu reģistrēšanas konfigurēšana notikuma ID 16985 tiek reģistrēts sistēmas notikumu žurnālā ikreiz, kad tiek izmantota mantota RPC metode, lai mainītu vai iestatītu konta paroli.Notikuma ID 16985

    Notikumu žurnāls

    Sistēma

    Notikuma avots

    Directory-Services-SAM

    Notikuma ID

    16985

    Līmenis

    Informācija

    Notikuma ziņojuma teksts

    Drošības kontu pārvaldnieks konstatēja mantoto izmaiņu izmantošanu vai iestatīja RPC metodi no tīkla klienta. Apsveriet iespēju jaunināt klienta operētājsistēmu vai lietojumprogrammu, lai izmantotu šīs metodes jaunāko un drošāko versiju.

    Detalizēta informācija:

    RPC metode: %1

    Klienta tīkla adrese: %2

    Klienta SID: %3

    Lietotājvārds: %4 

    Lai pieteiktos izvērstā notikuma ID 16985, pārslēdziet tālāk norādīto reģistra vērtību serverī vai domēna kontrollerī.

    Ceļš

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Tips

    REG_DWORD

    Vērtības nosaukums

    AuditLegacyPasswordRpcMethods

    Vērtības dati

     1 = iespējota verbose reģistrēšana

     0 vai nav = izvērstās reģistrēšanas iestatījums ir atspējots. Tikai kopsavilkuma notikumi. (Noklusējums)

Kā aprakstīts rakstā SamrUkartadeChangePasswordUser4 (Opnum 73), kad izmantojat jauno metodi SamrUuserChangePasswordUser4, klients un serveris izmanto PBKDF2 algoritmu, lai no vecās vienkārša teksta paroles iegūtu šifrēšanu un atšifrēšanu. Tas ir tāpēc, ka vecā parole ir vienīgais izplatītais noslēpums, kas ir zināms gan serverim, gan klientam.  

Papildinformāciju par PBKDF2 skatiet rakstā Funkcija BCryptDeriveKeyPBKDF2 (bcrypt.h).

Ja izmaiņas ir jāveic veiktspējas un drošības apsvērumu dēļ, varat pielāgot klienta paroles maiņas PBKDF2 iterāciju skaitu, klientam iestatot šādu reģistra vērtību.

Piezīme.: Samazinot PBKDF2 iterāciju skaitu, samazinās drošība.  Nav ieteicams samazināt skaitli, izmantojot noklusējumu. Tomēr ieteicams izmantot iespējami lielāko PBKDF2 iterāciju skaitu.

Ceļš 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Tips 

REG_DWORD 

Vērtības nosaukums 

PBKDF2Iterations 

Vērtības dati 

No 5000 līdz maksimāli 1 000 000

Vērtības noklusējums 

10,000  

Piezīme.: PBKDF2 netiek izmantots paroļu iestatīšanas operācijām. Paroļu iestatīšanas operācijām SMB sesijas atslēga ir koplietots noslēpums starp klientu un serveri un tiek izmantots, lai iegūtu šifrēšanas atslēgas. 

Papildinformāciju skatiet rakstā SMB sesijas atslēgas iegūšana.

Bieži uzdotie jautājumi (bieži uzdotie jautājumi)

Pazemināšana notiek, ja serveris vai klients neatbalsta AES.   

Atjaunināti serveri reģistrē notikumus, ja tiek izmantotas mantotās metodes ar RC4. 

Pašlaik nav pieejams ieviešanas režīms, taču iespējams, ka tas būs nākotnē. Mums nav datuma. 

Ja trešās puses ierīce nelieto SAMR protokolu, tas nav svarīgi. Trešo pušu piegādātāji, kuri ievieš MS-SAMR protokolu, var izvēlēties to ieviest. Ja ir kādi jautājumi, sazinieties ar trešās puses piegādātāju. 

Nekādas papildu izmaiņas nav nepieciešamas.  

Šis protokols ir mantots, un mēs paredzam, ka tā izmantošana ir ļoti zema. Mantotās lietojumprogrammas var izmantot šos API. Turklāt daži Active Directory rīki, piemēram, AD lietotāji un datori MMC, izmanto SAMR.

nē. Tiek ietekmētas tikai tās paroles izmaiņas, kas izmanto šos konkrētos SAMR API.

jā. PBKDF2 ir dārga nekā RC4. Ja domēna kontrollerī, zvanot uz SamrUhanadeChangePasswordUser4 API, vienlaikus tiek veiktas daudzas paroles izmaiņas, var tikt ietekmēta LSASS centrālā procesora slodze. Ja nepieciešams, klientu PBKDF2 iterācijas varat pielāgot, tomēr mēs neiesakām samazināties no noklusējuma, jo šādi samazinās drošība.  

Atsauces

Autentificēta šifrēšana ar AES-CBC un HMAC-SHA

AES Cipher Usage

Informatīva atruna saistībā ar trešajām pusēm 

Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja brīdinājuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.