Samenvatting

De updates van 13 juli 2021 Windows en latere Windows-updates bieden beveiligingen voor CVE-2021-33757.

Na de installatie van de updates van 13 juli 2021 Windows of later Windows-updates, is AES-versleuteling (Advanced Encryption Standard) de voorkeursmethode voor Windows-clients bij het gebruik van het oude MS-SAMR-protocol voor wachtwoordbewerkingen als AES-versleuteling wordt ondersteund door de SAM-server. Als AES-versleuteling niet wordt ondersteund door de SAM-server, is terugval naar de oudere RC4-versleuteling toegestaan.

Wijzigingen in CVE-20201-33757 zijn specifiek voor het MS-SAMR-protocol en zijn onafhankelijk van andere verificatieprotocollen. MS-SAMR gebruikt SMB via RPC en benoemde pijpen. Hoewel SMB ook versleuteling ondersteunt, is deze standaard niet ingeschakeld. De wijzigingen in CVE-20201-33757 zijn standaard ingeschakeld en bieden extra beveiliging op de SAM-laag. Er zijn geen aanvullende configuratiewijzigingen vereist, behalve het installeren van beveiligingen voor CVE-20201-33757 die zijn opgenomen in de updates van 13 juli 2021 Windows of latere Windows-updates voor alle ondersteunde versies van Windows. Niet-ondersteunde versies van Windows moeten worden stopgezet of geüpgraded naar een ondersteunde versie.

Opmerking CVE-2021-33757 wijzigt alleen de manier waarop wachtwoorden onderweg worden versleuteld bij het gebruik van specifieke API's van het MS-SAMR-protocol en wijzig met name niet hoe wachtwoorden in rust worden opgeslagen. Zie Wachtwoordenoverzicht voor meer informatie over hoe wachtwoorden worden versleuteld in Active Directory en lokaal in de SAM-database (register).

Meer informatie 

De bestaande SamrConnect5-methode wordt meestal gebruikt om een verbinding tot stand te brengen tussen de SAM-client en de server.

Een bijgewerkte server retourneerde nu een nieuw bit in de samrConnect5() reactie zoals gedefinieerd in SAMPR_REVISION_INFO_V1. 

Waarde

Betekenis

0x00000010

Bij ontvangst door de client geeft deze waarde, wanneer deze is ingesteld, aan dat de client AES-versleuteling moet gebruiken met de SAMPR_ENCRYPTED_PASSWORD_AES-structuur om wachtwoordbuffers te versleutelen wanneer deze over de draad worden verzonden. Zie AES Cipher Usage (sectie 3.2.2.4)en SAMPR_ENCRYPTED_PASSWORD_AES (sectie 2.2.6.32).

Als de bijgewerkte server AES ondersteunt, gebruikt de client nieuwe methoden en nieuwe informatieklassen voor wachtwoordbewerkingen. Als de server deze vlag niet retournt of als de client niet wordt bijgewerkt, wordt de client teruggevlagd op eerdere methoden met RC4-versleuteling.

Voor wachtwoordsetbewerkingen is een schrijfbare domeincontroller (RWDC) vereist. Wachtwoordwijzigingen worden door de ALLEEN-lezen domeincontroller (RODC) doorgestuurd naar een RWDC. Alle apparaten moeten worden bijgewerkt om AES te kunnen gebruiken. Bijvoorbeeld:

  • Als de client, RODC of RWDC niet wordt bijgewerkt, wordt RC4-versleuteling gebruikt.

  • Als de client, RODC en RWDC worden bijgewerkt, wordt AES-versleuteling gebruikt.

De updates van 13 juli 2021 voegen vier nieuwe gebeurtenissen toe aan het systeemlogboek om apparaten te identificeren die niet worden bijgewerkt en om de beveiliging te verbeteren.

  • Configuratietoestand Gebeurtenis-id 16982 of 16983 is aangemeld bij het opstarten of bij een wijziging van de registerconfiguratie.Gebeurtenis-id 16982

    Gebeurtenislogboek

    Systeem

    Gebeurtenisbron

    Directory-Services-SAM

    Gebeurtenis-id

    16982

    Niveau

    Informatie

    Tekst van gebeurtenisbericht

    De beveiligingsaccountbeheerder houdt nu uitgebreide gebeurtenissen bij voor externe clients die oudere wachtwoordwijziging noemen of RPC-methoden instellen. Deze instelling kan een groot aantal berichten veroorzaken en mag slechts voor een korte periode worden gebruikt om problemen te diagnosticeren.

    Gebeurtenis-id 16983

    Gebeurtenislogboek

    Systeem

    Gebeurtenisbron

    Directory-Services-SAM

    Gebeurtenis-id

    16983

    Niveau

    Informatie

    Tekst van gebeurtenisbericht

    De beveiligingsaccountbeheerder houdt nu periodieke overzichtsgebeurtenissen bij voor externe clients die oudere wachtwoordwijziging noemen of RPC-methoden instellen.

  • Nadat u de update van 13 juli 2021 hebt toegepast, wordt een overzichtsgebeurtenis 16984 elke 60 minuten aangemeld bij het systeemgebeurtenislogboek.Gebeurtenis-id 16984

    Gebeurtenislogboek

    Systeem

    Gebeurtenisbron

    Directory-Services-SAM

    Gebeurtenis-id

    16984

    Niveau

    Informatie

    Tekst van gebeurtenisbericht

    De beveiligingsaccountmanager heeft in de afgelopen 60 minuten %x oudere wachtwoordwijziging of RPC-methodeoproepen ingesteld.

  • Na het configureren van uitgebreide gebeurtenislogboekregistratie wordt gebeurtenis-id 16985 aangemeld bij het systeemgebeurtenislogboek telkens wanneer een oudere RPC-methode wordt gebruikt om een accountwachtwoord te wijzigen of in te stellen.Gebeurtenis-id 16985

    Gebeurtenislogboek

    Systeem

    Gebeurtenisbron

    Directory-Services-SAM

    Gebeurtenis-id

    16985

    Niveau

    Informatie

    Tekst van gebeurtenisbericht

    De beveiligingsaccountbeheerder heeft het gebruik van een oudere wijziging gedetecteerd of RPC-methode ingesteld vanuit een netwerkclient. U kunt het clientbesturingssysteem of de toepassing upgraden om de nieuwste en veiligere versie van deze methode te gebruiken.

    Details:

    RPC-methode: %1

    Clientnetwerkadres: %2

    Client SID: %3

    Gebruikersnaam: %4 

    Als u een uitgebreide gebeurtenis-id 16985 wilt registreren, schakelt u de volgende registerwaarde in op de server of domeincontroller.

    Pad

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Type

    REG_DWORD

    Waardenaam

    AuditLegacyPasswordRpcMethods

    Waardegegevens

     1 = verbose logging is ingeschakeld

     0 of niet aanwezig = uitgebreide logboekregistratie is uitgeschakeld. Alleen overzichtsgebeurtenissen. (Default)

Zoals beschreven in SamrUnicodeChangePasswordUser4 (Opnum 73), worden de client en server gebruikt om een versleutelings- en ontsleutelingssleutel af te leiden uit het oude wachtwoord van plaintext, zoals wordt beschreven in SamrUnicodeChangePasswordUser4 (Opnum 73). Dit komt omdat het oude wachtwoord het enige algemene geheim is dat bekend is bij zowel de server als de client.  

Zie BCryptDeriveKeyPBKDF2, functie (bcrypt.h) voor meer informatie over PBKDF2.

Als u om prestatie- en beveiligingsredenen een wijziging moet maken, kunt u het aantal PBKDF2-iteraties aanpassen dat door de client voor wachtwoordwijziging wordt gebruikt door de volgende registerwaarde voor de client in te stellen.

Opmerking: Als u het aantal PBKDF2-iteraties verlaagt, wordt de beveiliging kleiner.  Het wordt niet aangeraden om het getal af te stellen van de standaardwaarde. We raden u echter aan het hoogst mogelijke aantal PBKDF2-iteraties te gebruiken.

Pad 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Type 

REG_DWORD 

Waardenaam 

PBKDF2Iterations 

Waardegegevens 

Minimum van 5.000 tot een maximum van 1.000.000

Standaardwaarde 

10,000  

Opmerking: PBKDF2 wordt niet gebruikt voor wachtwoordsetbewerkingen. Voor bewerkingen met wachtwoordsets is de SMB-sessiesleutel het gedeelde geheim tussen client en server en wordt deze gebruikt als basis voor het uitvoeren van versleutelingssleutels. 

Zie Een SMB-sessiesleutelaanschaffen voor meer informatie.

Veelgestelde vragen (veelgestelde vragen)

Downgrade vindt plaats wanneer de server of de client geen ondersteuning biedt voor AES.   

Bijgewerkte servers houden gebeurtenissen bij wanneer oudere methoden met RC4 worden gebruikt. 

Er is momenteel geen afdwingingsmodus beschikbaar, maar deze is mogelijk in de toekomst beschikbaar. We hebben geen datum. 

Als een apparaat van derden het SAMR-protocol niet gebruikt, is dit niet belangrijk. Externe leveranciers die het MS-SAMR-protocol implementeren, kunnen ervoor kiezen om dit te implementeren. Neem contact op met de externe leverancier voor vragen. 

Er zijn geen extra wijzigingen vereist.  

Dit protocol is verouderd en we verwachten dat het gebruik erg laag is. Oudere toepassingen kunnen deze API's gebruiken. Sommige Active Directory-hulpprogramma's, zoals AD-gebruikers en computers MMC, maken ook gebruik van SAMR.

Nee. Alleen wachtwoordwijzigingen die deze specifieke SAMR-API's gebruiken, worden beïnvloed.

Ja. PBKDF2 is duurder dan RC4. Als er veel wachtwoordwijzigingen tegelijk plaatsvinden op de domeincontroller die de SamrUnicodeChangePasswordUser4-API belt, kan de CPU-belasting van LSASS worden beïnvloed. U kunt de PBKDF2-iteraties op clients zo nodig afstemmen, maar we raden u af te stappen van de standaardinstelling omdat de beveiliging hierdoor wordt verlaagd.  

Verwijzingen

Geverifieerde versleuteling met AES-CBC en HMAC-SHA

AES Cipher Gebruik

Disclaimerinformatie van derden 

We verstrekken contactgegevens van derden om u te helpen bij het vinden van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. We garanderen niet de nauwkeurigheid van deze contactgegevens van derden.

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.