Sammendrag

Oppdateringene for 13. juli 2021 Windows og nyere Windows gir beskyttelse for CVE-2021-33757.

Når du har installert oppdateringene for Windows eller nyere Windows-oppdateringer 13. juli 2021, vil AES-kryptering (Advanced Encryption Standard) være den foretrukne metoden for Windows-klienter når du bruker den eldre MS-SAMR-protokollen for passordoperasjoner hvis AES-kryptering støttes av SAM-serveren. Hvis AES-kryptering ikke støttes av SAM-serveren, tillates tilbakefall til den eldre RC4-krypteringen.

Endringer i CVE-20201-33757 er spesifikke for MS-SAMR-protokollen og er uavhengige av andre godkjenningsprotokoller. MS-SAMR bruker SMB over RPC og navngitte datakanaler. Selv om SMB også støtter kryptering, er den ikke aktivert som standard. Som standard er endringene i CVE-20201-33757 aktivert og gir ekstra sikkerhet på SAM-laget. Det kreves ingen flere konfigurasjonsendringer utover installeringsbeskyttelse for CVE-20201-33757 som er inkludert i oppdateringene for Windows 13. juli 2021 Windows eller senere Windows oppdateringer for alle støttede versjoner av Windows. Versjoner av Windows som ikke støttes, må avsluttes eller oppgraderes til en støttet versjon.

Obs!NÅR DU BRUKER EN-2021-33757, endres bare hvordan passord krypteres i transitt når du bruker bestemte API-er for MS-SAMR-protokollen, og ikke endrer hvordan passord lagres i hvilemodus. Hvis du vil ha mer informasjon om hvordan passord krypteresi Active Directory og lokalt i SAM-databasen (registeret), kan du se Oversikt over passord .

Mer informasjon  

Den eksisterende SamrConnect5-metoden brukes vanligvis til å etablere en tilkobling mellom SAM-klienten og serveren.

En oppdatert server vil nå returnere en ny bit i SamrConnect5()-svaret som er definert i SAMPR_REVISION_INFO_V1

Verdi

Betydning

0x00000010

Når klienten har mottatt bekreftelsen, angir denne verdien, når den er angitt, at klienten skal bruke AES-kryptering med SAMPR_ENCRYPTED_PASSWORD_AES-strukturen til å kryptere passordbuffere når den sendes over ledningen. Se AES Cipher Usage (avsnitt 3.2.2.4)og SAMPR_ENCRYPTED_PASSWORD_AES (avsnitt 2.2.6.32).

Hvis den oppdaterte serveren støtter AES, bruker klienten nye metoder og nye informasjonsklasser for passordoperasjoner. Hvis serveren ikke returnerer dette flagget, eller hvis klienten ikke er oppdatert, vil klienten gå tilbake til å bruke tidligere metoder med RC4-kryptering.

Passordsett-operasjoner krever en skrivbar domenekontroller (RWDC). Passordendringer videresendes av den skrivebeskyttede domenekontrolleren (RODC) til en RWDC. Alle enheter må oppdateres for at AES skal kunne brukes. Eksempel:

  • Hvis klienten, RODC eller RWDC ikke oppdateres, brukes RC4-kryptering.

  • Hvis klienten, RODC og RWDC oppdateres, brukes AES-kryptering.

Oppdateringene for 13. juli 2021 legger til fire nye hendelser i systemloggen for å bidra til å identifisere enheter som ikke oppdateres og bidrar til å forbedre sikkerheten.

  • Konfigurasjonsstatushendelses-ID 16982 eller 16983 logges på oppstart eller ved endring av registerkonfigurasjon.Hendelses-ID 16982

    Hendelseslogg

    System

    Hendelseskilde

    Directory-Services-SAM

    Hendelses-ID

    16982

    Nivå

    Informasjon

    Meldingstekst for hendelse

    Sikkerhetskontoadministratoren logger nå detaljerte hendelser for eksterne klienter som kaller eldre passordendring eller angir RPC-metoder. Denne innstillingen kan føre til et stort antall meldinger og bør bare brukes i en kort periode for å diagnostisere problemer.

    Hendelses-ID 16983

    Hendelseslogg

    System

    Hendelseskilde

    Directory-Services-SAM

    Hendelses-ID

    16983

    Nivå

    Informasjon

    Meldingstekst for hendelse

    Sikkerhetskontoadministratoren logger nå periodiske sammendragshendelser for eksterne klienter som kaller eldre passordendring eller angir RPC-metoder.

  • Når du har brukt oppdateringen 13. juli 2021, logges en sammendragshendelse 16984 i systemhendelsesloggen hvert 60. minutt.Hendelses-ID 16984

    Hendelseslogg

    System

    Hendelseskilde

    Directory-Services-SAM

    Hendelses-ID

    16984

    Nivå

    Informasjon

    Meldingstekst for hendelse

    Sikkerhetskontoadministratoren oppdaget %x eldre passordendring eller angivelse av RPC-metodeanrop i løpet av de siste 60 minuttene.

  • Når du har konfigurert detaljert hendelseslogging, logges hendelses-ID 16985 i systemhendelsesloggen hver gang en eldre RPC-metode brukes til å endre eller angi et kontopassord.Hendelses-ID 16985

    Hendelseslogg

    System

    Hendelseskilde

    Directory-Services-SAM

    Hendelses-ID

    16985

    Nivå

    Informasjon

    Meldingstekst for hendelse

    Sikkerhetskontoadministratoren oppdaget bruken av en eldre endring eller angi RPC-metode fra en nettverksklient. Vurder å oppgradere klientoperativsystemet eller -programmet for å bruke den nyeste og sikrere versjonen av denne metoden.

    Detaljer:

    RPC-metode: %1

    Klientnettverksadresse: %2

    Klient-SID: %3

    Brukernavn: %4 

    Hvis du vil logge detaljert hendelses-ID 16985, aktiverer du følgende registerverdi på serveren eller domenekontrolleren.

    Bane

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Type

    REG_DWORD

    Verdinavn

    AuditLegacyPasswordRpcMethods

    Verdidata

     1 = detaljert logging er aktivert

     0 eller ikke til stede = detaljert logging er deaktivert. Bare sammendragshendelser. (Standard)

Som beskrevet i SamrUnicodeChangePasswordUser4 (Opnum 73), når du bruker den nye SamrUnicodeChangePasswordUser4-metoden, bruker klienten og serveren PBKDF2-algoritmen til å hente en krypterings- og dekrypteringsnøkkel fra det gamle passordet i ren tekst. Dette er fordi det gamle passordet er den eneste vanlige hemmeligheten som er kjent for både serveren og klienten.  

Hvis du vil ha mer informasjon om PBKDF2, kan du se BCryptDeriveKeyPBKDF2 (funksjon) (bcrypt.h).

Hvis du må gjøre en endring av ytelses- og sikkerhetsårsaker, kan du justere antall PBKDF2-iterasjoner som brukes av klienten for passordendring ved å angi følgende registerverdi på klienten.

Obs!: Hvis du reduserer antallet PBKDF2-iterasjoner, reduseres sikkerheten.  Vi anbefaler ikke at tallet reduseres fra standardverdien. Vi anbefaler imidlertid at du bruker høyest mulig antall PBKDF2-iterasjoner.

Bane 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Type 

REG_DWORD 

Verdinavn 

PBKDF2Iterations 

Verdidata 

Minimum 5000 til maksimalt 1 000 000

Verdistandard 

10,000  

Obs!: PBKDF2 brukes ikke for passordsettoperasjoner. For passordsettoperasjoner er SMB-øktnøkkelen den delte hemmeligheten mellom klient og server og brukes som grunnlag for å avlede krypteringsnøkler. 

Hvis du vil ha mer informasjon, kan du se Anskaffe en SMB-øktnøkkel.

Vanlige spørsmål

Nedgradering skjer når serveren eller klienten ikke støtter AES.   

Oppdaterte servere logger hendelser når eldre metoder med RC4 brukes. 

Det er for øyeblikket ingen håndhevelsesmodus tilgjengelig, men det kan være i fremtiden. Vi har ingen dato. 

Hvis en tredjepartsenhet ikke bruker SAMR-protokollen, er ikke dette viktig. Tredjepartsleverandører som implementerer MS-SAMR-protokollen, kan velge å implementere dette. Kontakt tredjepartsleverandøren for å få spørsmål. 

Ingen flere endringer er nødvendige.  

Denne protokollen er eldre, og vi forventer at bruken er svært lav. Eldre programmer kan bruke disse API-ene. Noen Active Directory-verktøy, for eksempel AD-brukere og datamaskiner, bruker OGSÅ SAMR.

Nei. Bare passordendringer som bruker disse spesifikke SAMR-API-ene, påvirkes.

ja. PBKDF2 er dyrere enn RC4. Hvis det skjer mange passordendringer samtidig på domenekontrolleren som kaller SamrUnicodeChangePasswordUser4 API, kan CPU-belastningen av LSASS bli påvirket. Du kan justere PBKDF2-iterasjonene på klienter hvis det er nødvendig, men vi anbefaler ikke å redusere fra standardinnstillingen, da dette vil redusere sikkerheten.  

Referanser

Godkjent kryptering med AES-CBC og HMAC-SHA

AES Cipher Usage

Ansvarsfraskrivelse for informasjon fra tredjeparter 

Vi gir tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.