Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

OPPDATERT 20. mars 2023 – Tilgjengelighetsdelen

Oppsummering

Remote Protocol (Distributed Component Object Model) (DCOM) er en protokoll for å eksponere programobjekter ved hjelp av eksterne prosedyrekall (RPCer). DCOM brukes til kommunikasjon mellom programvarekomponentene på nettverksenheter. Herdingsendringer i DCOM var nødvendig for CVE-2021-26414. Derfor anbefalte vi at du bekrefter om klient- eller serverprogrammer i miljøet ditt som bruker DCOM eller RPC fungerer som forventet med de harde endringene som er aktivert.

Obs!   Vi anbefaler på det sterkeste at du installerer den nyeste sikkerhetsoppdateringen som er tilgjengelig. De gir avansert beskyttelse mot de nyeste sikkerhetstruslene. De gir også funksjoner som vi har lagt til for å støtte overføring. Hvis du vil ha mer informasjon og kontekst om hvordan vi herder DCOM, kan du se DCOM-godkjenningsherding: det du trenger å vite.

Den første fasen av DCOM-oppdateringer ble utgitt 8. juni 2021. I denne oppdateringen ble DCOM-herding deaktivert som standard. Du kan aktivere dem ved å endre registeret som beskrevet i delen Registerinnstilling for å aktivere eller deaktivere herdingsendringene nedenfor. Den andre fasen av DCOM-oppdateringer ble utgitt 14. juni 2022. Dette endret herdingen til aktivert som standard, men beholdt muligheten til å deaktivere endringene ved hjelp av innstillingene for registernøkkel. Den siste fasen av DCOM-oppdateringer vil bli utgitt i mars 2023. Det vil holde DCOM-herding aktivert og fjerne muligheten til å deaktivere den.

Tidslinje

Oppdater utgivelse

Endring av virkemåte

8. juni 2021 kl.

Fase 1 Utgivelse – Herding av endringer deaktivert som standard, men med muligheten til å aktivere dem ved hjelp av en registernøkkel.

14. juni 2022 kl.

Fase 2 Utgivelse – Herding av endringer aktivert som standard, men med muligheten til å deaktivere dem ved hjelp av en registernøkkel.

14. mars 2023 kl.

Fase 3 Utgivelse – Herding av endringer aktivert som standard uten mulighet til å deaktivere dem. På dette tidspunktet må du løse eventuelle kompatibilitetsproblemer med de herdede endringene og programmene i miljøet ditt.

Testing for DCOM-herdingskompatibilitet

Nye DCOM-feilhendelser

For å hjelpe deg med å identifisere programmene som kan ha kompatibilitetsproblemer etter at vi har aktivert endringer i DCOM-sikkerhetsherding, har vi lagt til nye DCOM-feilhendelser i systemloggen. Se tabellene nedenfor. Systemet logger disse hendelsene hvis det oppdager at et DCOM-klientprogram prøver å aktivere en DCOM-server ved hjelp av et godkjenningsnivå som er mindre enn RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Du kan spore til klientenheten fra hendelsesloggen på serversiden og bruke hendelseslogger på klientsiden til å finne programmet.

Serverhendelser - Angir at serveren mottar forespørsler på lavere nivå

Hendelses-ID

Melding

10036

"Policyen for godkjenningsnivå på serversiden tillater ikke brukeren %1\%2 SID (%3) fra adressen %4 for å aktivere DCOM-serveren. Opphøy aktiveringsgodkjenningsnivået minst for å RPC_C_AUTHN_LEVEL_PKT_INTEGRITY i klientprogrammet.»

(%1 – domene, %2 – brukernavn, %3 – bruker-SID, %4 – klient-IP-adresse)

Klienthendelser – Angi hvilket program som sender forespørsler på lavere nivå

Hendelses-ID

Melding

10037

"Programmet %1 med PIDen %2 ber om å aktivere CLSID %3 på datamaskinen %4 med eksplisitt angitt godkjenningsnivå på %5. Det laveste aktiveringsgodkjenningsnivået som kreves av DCOM, er 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Hvis du vil øke godkjenningsnivået for aktivering, kontakter du programleverandøren.»

10038

"Programmet %1 med PIDen %2 ber om å aktivere CLSID %3 på datamaskinen %4 med standard godkjenningsnivå for aktivering på %5. Det laveste aktiveringsgodkjenningsnivået som kreves av DCOM, er 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Hvis du vil øke godkjenningsnivået for aktivering, kontakter du programleverandøren.»

(%1 – programbane, %2 – program-PID, %3 – CLSID for COM-klassen som programmet ber om å aktivere, %4 – datamaskinnavn, %5 – verdien for godkjenningsnivå)

Tilgjengelighet

Disse feilhendelsene er bare tilgjengelige for et delsett av Windows-versjoner. se tabellen nedenfor.

Windows-versjon

Tilgjengelig på eller etter disse datoene

Windows Server 2022

27. september 2021 kl.

KB5005619

Windows 10, versjon 2004, Windows 10, versjon 20H2, Windows 10, versjon 21H1

1. september 2021 kl.

KB5005101

Windows 10, versjon 1909

26. august 2021 kl.

KB5005103

Windows Server 2019, Windows 10, versjon 1809

26. august 2021 kl.

KB5005102

Windows Server 2016, Windows 10, versjon 1607

14. september 2021

KB5005573

Windows Server 2012 R2 og Windows 8.1

12. oktober 2021

KB5006714

Windows 11, versjon 22H2

30. september 2022 kl.

KB5017389

Oppdatering av automatisk opphøyning på klientsiden

Godkjenningsnivå for alle ikke-anonyme aktiveringsforespørsler

For å redusere problemer med appkompatibilitet, har vi automatisk hevet godkjenningsnivået for alle ikke-anonyme aktiveringsforespørsler fra Windows-baserte DCOM-klienter for å RPC_C_AUTHN_LEVEL_PKT_INTEGRITY på et minimum. Med denne endringen godtas de fleste Windows-baserte DCOM-klientforespørsler automatisk med DCOM-herdingsendringer aktivert på serversiden uten ytterligere endringer i DCOM-klienten. I tillegg vil de fleste Windows DCOM-klienter automatisk fungere med DCOM-herdingsendringer på serversiden uten ytterligere endringer i DCOM-klienten.

Obs!   Denne oppdateringen vil fortsatt være inkludert i de kumulative oppdateringene.

Oppdater tidslinje for oppdatering

Siden den første utgivelsen i november 2022, har auto-elevate-oppdateringen hatt noen oppdateringer.

  • Oppdatering for november 2022

    • Denne oppdateringen økte automatisk godkjenningsnivået for aktivering til pakkeintegritet. Denne endringen ble deaktivert som standard på Windows Server 2016 og Windows Server 2019.

  • Oppdatering for desember 2022

    • November-endringen ble aktivert som standard for Windows Server 2016 og Windows Server 2019.

    • Denne oppdateringen løste også et problem som påvirket anonym aktivering på Windows Server 2016 og Windows Server 2019.

  • Oppdatering for januar 2023

    • Denne oppdateringen løste et problem som påvirket anonym aktivering på plattformer fra Windows Server 2008 til Windows 10 (opprinnelig versjon utgitt juli 2015).

Hvis du har installert de kumulative sikkerhetsoppdateringene fra og med januar 2023 på klienter og servere, vil de ha den nyeste automatisk utvidede oppdateringen fullstendig aktivert.

Registerinnstilling for å aktivere eller deaktivere de harde endringene

I tidslinjefasene der du kan aktivere eller deaktivere herdingsendringene for CVE-2021-26414, kan du bruke følgende registernøkkel:

  • Bane: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Verdinavn: "RequireIntegrityActivationAuthenticationLevel"

  • Type: dword

  • Verdidata: standard = 0x00000000 betyr deaktivert. 0x00000001 betyr aktivert. Hvis denne verdien ikke er definert, aktiveres den som standard.

Merk Du må angi verdidata i heksadesimalt format.

Viktig!   Du må starte enheten på nytt etter at du har angitt denne registernøkkelen for at den skal tre i kraft.

Obs!   Hvis du aktiverer registernøkkelen ovenfor, får DCOM-servere til å fremtvinge en Authentication-Level av RPC_C_AUTHN_LEVEL_PKT_INTEGRITY eller høyere for aktivering. Dette påvirker ikke anonym aktivering (aktivering ved hjelp av godkjenningsnivå RPC_C_AUTHN_LEVEL_NONE). Hvis DCOM-serveren tillater anonym aktivering, vil det fremdeles være tillatt selv med DCOM-herdingsendringer er aktivert.

Obs!   Denne registerverdien finnes ikke som standard. du må opprette den. Windows leser det hvis det finnes og vil ikke overskrive det.

Obs!   Installasjon av senere oppdateringer vil verken endres eller fjerne eksisterende registeroppføringer og innstillinger.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.