Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

ОБНОВЛЕНО 20 марта 2023 г. — раздел "Доступность"

Сводка

Протокол remote Component Object Model (DCOM) — это протокол для предоставления объектов приложения с помощью удаленных вызовов процедур (RPC). DCOM используется для обмена данными между программными компонентами сетевых устройств. Для CVE-2021-26414 требовались изменения защиты в DCOM. Поэтому рекомендуется проверить, работают ли клиентские или серверные приложения в вашей среде, использующие DCOM или RPC, должным образом с включенными изменениями защиты.

Примечание Настоятельно рекомендуется установить последнее доступное обновление для системы безопасности. Они обеспечивают расширенную защиту от последних угроз безопасности. Они также предоставляют возможности, которые мы добавили для поддержки миграции. Дополнительные сведения и контекст о том, как мы ужесточаем DCOM, см. в разделе Защита проверки подлинности DCOM: что вам нужно знать.

Первый этап обновлений DCOM был выпущен 8 июня 2021 г. В этом обновлении защита DCOM была отключена по умолчанию. Их можно включить, изменив реестр, как описано в разделе "Параметр реестра для включения или отключения изменений защиты" ниже. Второй этап обновлений DCOM был выпущен 14 июня 2022 г. По умолчанию защита была включена, но сохранена возможность отключения изменений с помощью параметров раздела реестра. Последний этап обновлений DCOM будет выпущен в марте 2023 г. Он сохранит включенную функцию защиты DCOM и удалит возможность ее отключения.

Временная шкала

Выпуск обновления

Изменение поведения

8 июня 2021 г.

Этап 1. Усиление защиты изменений, отключенных по умолчанию, но с возможностью их включения с помощью раздела реестра.

14 июня 2022 г.

Этап 2 Выпуска. Усиление защиты изменений, включенных по умолчанию, но с возможностью их отключения с помощью раздела реестра.

14 марта 2023 г.

Этап выпуска 3. Усиление защиты изменений, включенных по умолчанию без возможности их отключения. К этому моменту необходимо устранить все проблемы совместимости с изменениями защиты и приложениями в вашей среде.

Тестирование совместимости защиты DCOM

Новые события ошибок DCOM

Чтобы помочь вам определить приложения, которые могут иметь проблемы совместимости после включения изменений защиты безопасности DCOM, мы добавили новые события ошибок DCOM в системный журнал. См. приведенные ниже таблицы. Система регистрирует эти события, если обнаруживает, что клиентское приложение DCOM пытается активировать сервер DCOM с уровнем проверки подлинности, который меньше RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Вы можете выполнить трассировку до клиентского устройства из журнала событий на стороне сервера и использовать журналы событий на стороне клиента для поиска приложения.

События сервера — Указать, что сервер получает запросы более низкого уровня

Идентификатор события

Сообщение

10036

"Политика уровня проверки подлинности на стороне сервера не позволяет пользователю %1\%2 SID (%3) с адреса %4 активировать сервер DCOM. Повысьте уровень проверки подлинности активации по крайней мере до RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клиентском приложении".

(%1 — домен, %2 — имя пользователя, %3 — идентификатор безопасности пользователя, %4 — IP-адрес клиента)

События клиента — указывает, какое приложение отправляет запросы более низкого уровня.

Идентификатор события

Сообщение

10037

"Приложение %1 с PID %2 запрашивает активацию CLSID %3 на компьютере %4 с явно заданным уровнем проверки подлинности на уровне %5. Самый низкий уровень проверки подлинности активации для DCOM — 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Чтобы повысить уровень проверки подлинности активации, обратитесь к поставщику приложения".

10038

"Приложение %1 с PID %2 запрашивает активацию CLSID %3 на компьютере %4 с уровнем проверки подлинности активации по умолчанию на %5. Самый низкий уровень проверки подлинности активации для DCOM — 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Чтобы повысить уровень проверки подлинности активации, обратитесь к поставщику приложения".

(%1 — путь к приложению, %2 — PID приложения, %3 — CLSID класса COM, который приложение запрашивает для активации, %4 — имя компьютера, %5 — значение уровня проверки подлинности)

Доступность

Эти события ошибок доступны только для подмножества версий Windows; см. таблицу ниже.

Версия Windows

Доступно в эти даты или позже

Windows Server 2022

27 сентября 2021 г.

KB5005619

Windows 10, версия 2004, Windows 10, версия 20H2, Windows 10, версия 21H1

1 сентября 2021 г.

KB5005101

Windows 10 версии 1909

26 августа 2021 г.

KB5005103

Windows Server 2019, Windows 10, версия 1809

26 августа 2021 г.

KB5005102

Windows Server 2016, Windows 10, версия 1607

14 сентября 2021 г.

KB5005573

Windows Server 2012 R2 и Windows 8.1

12 октября 2021 г.

KB5006714

Windows 11, версия 22H2

30 сентября 2022 г.

KB5017389

Исправление автоматического повышения прав на запрос клиента

Уровень проверки подлинности для всех неанонимных запросов активации

Чтобы уменьшить проблемы с совместимостью приложений, мы автоматически подняли уровень проверки подлинности для всех неанонимных запросов на активацию от клиентов DCOM под управлением Windows, чтобы RPC_C_AUTHN_LEVEL_PKT_INTEGRITY как минимум. При этом изменении большинство клиентских запросов DCOM под управлением Windows будут автоматически приниматься с включенными изменениями защиты DCOM на стороне сервера без каких-либо дальнейших изменений в клиенте DCOM. Кроме того, большинство клиентов Windows DCOM будут автоматически работать с изменениями защиты DCOM на стороне сервера без каких-либо дальнейших изменений в клиенте DCOM.

Примечание Это исправление будет по-прежнему включаться в накопительные обновления.

Временная шкала обновления исправлений

С момента первоначального выпуска в ноябре 2022 г. исправление с автоматическим повышением привилегий было выпущено несколько обновлений.

  • Обновление за ноябрь 2022 г.

    • Это обновление автоматически повысило уровень проверки подлинности активации до целостности пакетов. Это изменение было отключено по умолчанию в Windows Server 2016 и Windows Server 2019.

  • Обновление за декабрь 2022 г.

    • Ноябрьское изменение было включено по умолчанию для Windows Server 2016 и Windows Server 2019.

    • В этом обновлении также устранена проблема, которая повлияла на анонимную активацию в Windows Server 2016 и Windows Server 2019.

  • Обновление за январь 2023 г.

    • В этом обновлении устранена проблема, которая повлияла на анонимную активацию на платформах с Windows Server 2008 до Windows 10 (начальная версия, выпущенная в июле 2015 г.).

Если вы установили накопительные обновления для системы безопасности с января 2023 г. на своих клиентах и серверах, на них будет полностью включено последнее исправление с автоматическим повышением привилегий.

Параметр реестра для включения или отключения изменений защиты

На этапах временной шкалы, на которых можно включить или отключить изменения защиты для CVE-2021-26414, можно использовать следующий раздел реестра:

  • Путь: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Имя значения: RequireIntegrityActivationAuthenticationLevel

  • Тип: dword

  • Значение Data: default= 0x00000000 означает отключено. 0x00000001 означает, что включено. Если это значение не определено, по умолчанию оно будет включено.

Примечание Необходимо ввести данные значений в шестнадцатеричном формате.

Важно! Чтобы оно вступило в силу, необходимо перезапустить устройство после установки этого раздела реестра.

Примечание Включение раздела реестра выше приведет к принудительному применению Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY или выше для активации серверов DCOM. Это не влияет на анонимную активацию (активацию с помощью RPC_C_AUTHN_LEVEL_NONE уровня проверки подлинности). Если сервер DCOM разрешает анонимную активацию, она по-прежнему будет разрешена, даже если включены изменения защиты DCOM.

Примечание Это значение реестра не существует по умолчанию; его необходимо создать. Windows считывает его, если он существует, и не перезапишет его.

Примечание Установка более поздних обновлений не приведет к изменению и удалению существующих записей и параметров реестра.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.