Аннотация
Обновления от 13 июля 2021 г. Windows и более поздних версий Windows добавляют защиту для CVE-2021–33757.
После установки обновлений Windows от 13 июля 2021 г. или более поздних версий Windows предпочтительным методом для клиентов Windows при использовании устаревшего протокола MS-SAMR для операций с паролями, если шифрование AES поддерживается SAM Server, будет предпочтительным методом шифрования AES. Если шифрование AES не поддерживается SAM-сервером, будет разрешено использовать устаревшее шифрование RC4.
Изменения в CVE-20201–33757 специфичные для протокола MS-SAMR и не зависят от других протоколов проверки подлинности. Ms-SAMR использует SMB по RPC и именовамые трубки. Хотя SMB также поддерживает шифрование, по умолчанию оно не включено. По умолчанию изменения в CVE-20201–33757 включены и обеспечивают дополнительную безопасность на уровне SAM. Дополнительные изменения конфигурации не требуются после установки защиты CVE-20201–33757, включенных в обновления от 13 июля 2021 г. Windows или более поздние Windows для всех поддерживаемых версий Windows. Неподдермаваемая версия Windows должна быть прекращена или обновлена до поддерживаемой версии.
Примечание. CVE-2021–33757 только изменяет способ шифрования паролей при использовании определенных API протокола MS-SAMR и, в частности, не изменяет способ хранения паролей во время хранения. Дополнительные сведения о шифровании паролей во время работы в Active Directory и локально в базе данных SAM (реестре) см. в обзоре паролей.
Дополнительная информация
-
Шаблон смены пароля
Обновления изменяют шаблон смены пароля протокола, добавляя новый метод смены пароля, который будет использовать AES.
Старый метод с RC4
Новый метод с AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
-
Шаблон набора паролей
Обновления изменяют шаблон набора паролей для протокола, добавив два новых класса сведений о пользователях к методу SamrSetInformationUser2 (Opnum 58). Вы можете настроить пароль следующим образом.
Старый метод с RC4
Новый метод с AES
SamrSetInformationUser2 (Opnum 58) вместе с UserInternal4InformationNew, который содержит зашифрованный пароль пользователя с RC4.
SamrSetInformationUser2 (Opnum 58) вместе с UserInternal8Information, который содержит зашифрованный пароль пользователя с помощью AES.
SamrSetInformationUser2 (Opnum 58) вместе с UserInternal5InformationNew, который содержит зашифрованный пароль пользователя с RC4 и всеми другими атрибутами пользователя.
SamrSetInformationUser2 (Opnum 58) вместе с UserInternal7Information, которая содержит зашифрованный пароль с AES и всеми другими атрибутами пользователя.
Существующий метод SamrConnect5 обычно используется для установления связи между клиентом SAM и сервером.
Обновленный сервер теперь возвращает новый бит в ответе SamrConnect5(), как определено в SAMPR_REVISION_INFO_V1.
Значение |
Смысл |
0x00000010 |
При поступлении клиентом это значение в заданной момент указывает на то, что клиент должен использовать шифрование AES со структурой SAMPR_ENCRYPTED_PASSWORD_AES для шифрования буферов паролей при его перенаправке по проводам. См. раздел Использование шифра AES (раздел 3.2.2.4)и SAMPR_ENCRYPTED_PASSWORD_AES (раздел 2.2.6.32). |
Если обновленный сервер поддерживает AES, клиент будет использовать новые методы и классы сведений для операций с паролями. Если сервер не возвращает этот флажок или клиент не обновлен, клиент вернется к использованию предыдущих методов шифрования RC4.
Для работы с набором паролей требуется записываемый контроллер домена (RWDC). Изменения паролей переназваны контроллером только для чтения домена (КОДЕСК) на RWDC. Для использования AES необходимо обновить все устройства. Пример:
-
Если клиент, КОДЗК или RWDC не обновляются, будет использоваться шифрование RC4.
-
При обновлении клиента, КОДЕСК и RWDC будет использоваться шифрование AES.
В обновлениях от 13 июля 2021 г. в журнал системы добавляются четыре новых события, которые помогают определять устройства, которые не обновляются, и повысить безопасность.
-
ИД события конфигурации 16982 или 16983 регистрируется при запуске или при изменении конфигурации реестра.
ИД события 16982Журнал событий
Система
Источник событий
Directory-Services-SAM
ИД события
16982
Уровень
Информация
Текст сообщения о событии
Диспетчер учетных записей безопасности теперь будет ведения подробных отчетов о событиях для удаленных клиентов, которые называют устаревшим изменением пароля или настройкам методов RPC. Этот параметр может привести к большому количеству сообщений, и его следует использовать только в течение короткого периода времени для диагностики проблем.
Журнал событий
Система
Источник событий
Directory-Services-SAM
ИД события
16983
Уровень
Информация
Текст сообщения о событии
Диспетчер учетных записей безопасности теперь будет вести журнал периодических сводных событий для удаленных клиентов, которые называют устаревшим изменением пароля или настройкам методов RPC.
-
После применения обновления от 13 июля 2021 г. сводное событие 16984 регистрируется в журнале системных событий каждые 60 минут.
ИД события 16984Журнал событий
Система
Источник событий
Directory-Services-SAM
ИД события
16984
Уровень
Информация
Текст сообщения о событии
Менеджер по учетной записи безопасности обнаружил, что за последние 60 минут смена пароля %x устаревший или настройка метода RPC была установлена.
-
После настройки подробного ведения журнала событий код события 16985 регистрируется в журнале событий Системы каждый раз, когда для изменения или настройки пароля учетной записи используется устаревший метод RPC.
ИД события 16985Журнал событий
Система
Источник событий
Directory-Services-SAM
ИД события
16985
Уровень
Информация
Текст сообщения о событии
Менеджер по учетной записи безопасности обнаружил использование устаревшего изменения или настроил метод RPC в сетевом клиенте. Обновив клиентскую операционную систему или приложение, вы можете использовать последнюю и более безопасную версию этого метода.
Детали:
Способ RPC: %1
Клиентский сетевой адрес: %2
Client SID: %3
Имя пользователя: %4
Чтобы войти в систему с подробным ИД события 16985, перейдите к следующему значению реестра на сервере или контроллере домена.
Путь
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Что ввести
Reg_dword
Имя значения
AuditLegacyPasswordRpcMethods
Данные о значениях
1 = включено подробное ведение журнала
0 или нет = подробное ведение журнала отключено. Только сводные события. (По умолчанию)
Как описано в описании SamrUnicodeChangePasswordUser4 (Opnum 73), при использовании нового метода SamrUnicodeChangePasswordUser4 клиент и сервер будут использовать алгоритм PBKDF2 для получения ключа шифрования и расшифровки на основе старого обычного пароля. Это потому, что старый пароль — единственный общий секрет, который известен как серверу, так и клиенту.
Дополнительные сведения о функции PBKDF2 см. в функции BCryptDeriveKeyPBKDF2 (bcrypt.h).
Если необходимо внести изменения по соображениям производительности и безопасности, вы можете настроить количество итераций PBKDF2, используемых клиентом для изменения пароля, установив для него следующее значение в реестре:
Примечание: При уменьшении числа итерации PBKDF2 снижается безопасность. Не рекомендуется уменьшать число по умолчанию. Однако мы рекомендуем использовать максимально возможное количество итерации PBKDF2.
Путь |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Что ввести |
Reg_dword |
Имя значения |
PBKDF2Iterations |
Данные о значениях |
От 5000 до 1 000 000 |
Значение по умолчанию |
10,000 |
Примечание: PBKDF2 не используется для операций с набором паролей. Для операций с набором паролей ключ сеанса SMB является общей секретом между клиентом и сервером и используется в качестве основы для нажатия ключей шифрования.
Дополнительные сведения см. в приобретении ключа сеанса SMB.
Вопросы и ответы
Понижение происходит, если сервер или клиент не поддерживает AES.
На обновленных серверах будут журналы событий, если используются устаревшие методы с RC4.
В настоящее время режимы обеспечения соблюдения не доступны, но могут быть и в будущем. У нас нет даты.
Если стороне устройство не использует протокол SAMR, это не важно. Сторонние поставщики, внедрявшие протокол MS-SAMR, могут выбрать их реализацию. За любыми вопросами обращайтесь к стороне поставщику.
Дополнительные изменения не требуются.
Этот протокол является устаревшим, и мы ожидаем, что его использование очень мало. Устаревшие приложения могут использовать эти API. Кроме того, некоторые средства Active Directory, такие как AD Users и Computers MMC, используют SAMR.
Нет. Изменения паролей, в которых используются эти API SAMR, будут затронуты.
Да. PBKDF2 стоит дороже RC4. Если на контроллере домена, вызываемом API SamrUnicodeChangePasswordUser4, одновременно происходит множество изменений паролей, это может повлиять на загрузку LSASS ЦП. Вы можете настроить итерации PBKDF2 для клиентов, если это необходимо, но мы не рекомендуем уменьшать значение по умолчанию, так как это снижает безопасность.
Ссылки
Шифрование, аутентификация с помощью AES-CBC и HMAC-SHA
Заявление об отказе от ответственности за сведения о продуктах сторонних производителей
Мы предоставляем контактные данные сторонних служб, которые помогут вам найти техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Мы не гарантируем точность этих контактных данных сторонних сторон.