AKTUALIZOVANÉ 20. marca 2023 – sekcia dostupnosti
Zhrnutie
Vzdialený protokol DCOM (Distributed Component Object Model) je protokol na vystavenie objektov aplikácie pomocou vzdialených volaní procedúr . DCOM sa používa na komunikáciu medzi softvérovými súčasťami sieťových zariadení. V prípade CVE-2021-26414 sa vyžadovali kalenie zmien v DCOM. Preto odporúčame overiť, či klientske alebo serverové aplikácie vo vašom prostredí, ktoré používajú DCOM alebo RPC, fungujú podľa očakávaní s povolenými kalihucími zmenami.
Poznámka Dôrazne odporúčame nainštalovať najnovšiu dostupnú aktualizáciu zabezpečenia. Poskytujú rozšírenú ochranu pred najnovšími bezpečnostnými hrozbami. Poskytujú tiež možnosti, ktoré sme pridali na podporu migrácie. Ďalšie informácie a kontext o spôsobe stvrdnutia DCOM nájdete v téme Spevnenie overovania DCOM: čo potrebujete vedieť.
Prvá fáza aktualizácií DCOM bola vydaná 8. júna 2021. V tejto aktualizácii bolo kalenie DCOM predvolene zakázané. Môžete ich povoliť úpravou databázy Registry tak, ako je to popísané v nižšie uvedenej časti Nastavenie databázy Registry na zapnutie alebo zakázanie stvrdnutia zmien. Druhá fáza aktualizácií DCOM bola vydaná 14. júna 2022. To zmenilo vytvrdenie tak, aby bolo predvolene povolené, ale zachovalo sa možnosť zakázať zmeny pomocou nastavení kľúča databázy Registry. Konečná fáza aktualizácií DCOM bude vydaná v marci 2023. Zachová vystuženie DCOM povolené a odstráni možnosť zakázať ho.
Časová os
|
Vydanie aktualizácie |
Zmena správania |
|
8. júna 2021 |
Vydanie fázy 1 – zmeny stvrdnutia sú predvolene zakázané, ale s možnosťou povoliť ich pomocou kľúča databázy Registry. |
|
14. júna 2022 |
Vydanie fázy 2 – v predvolenom nastavení sú povolené zmeny spevnenia, ale s možnosťou zakázať ich pomocou kľúča databázy Registry. |
|
14. marca 2023 |
Vydanie fázy 3 – zmeny stvrdnutia sú predvolene povolené bez možnosti zakázať ich. Do tohto bodu, musíte vyriešiť všetky problémy s kompatibilitou s spevňujúce zmeny a aplikácie vo vašom prostredí. |
Testovanie na zabezpečenie kompatibility DCOM
Nové chybové udalosti DCOM
Aby sme vám pomohli identifikovať aplikácie, ktoré môžu mať problémy s kompatibilitou po povolení zmien stvrdnutia zabezpečenia DCOM, pridali sme do denníka systému nové chybové udalosti DCOM. Pozrite si tabuľky uvedené nižšie. Systém zaznamená tieto udalosti, ak zistí, že klientska aplikácia DCOM sa pokúša aktivovať server DCOM pomocou úrovne overovania, ktorá je menšia ako RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. K klientskemu zariadeniu môžete prejsť z denníka udalostí na strane servera a na vyhľadanie aplikácie použiť denníky udalostí na strane klienta.
Udalosti servera – Označenie, že server prijíma požiadavky nižšej úrovne
|
Identifikačné číslo udalosti |
Správu |
|---|---|
|
10036 |
Politika úrovne overovania na strane servera nepovoľuje používateľovi %1\%2 IDENTIFIKÁTOR SID (%3) z adresy %4 na aktiváciu servera DCOM. Úroveň overenia aktivácie zvýšte aspoň na RPC_C_AUTHN_LEVEL_PKT_INTEGRITY v klientskej aplikácii." (%1 – doména, %2 – meno používateľa, %3 – identifikátor SID používateľa, %4 – IP adresa klienta) |
Udalosti klienta – označuje, ktorá aplikácia odosiela požiadavky nižšej úrovne
|
Identifikačné číslo udalosti |
Správu |
|---|---|
|
10037 |
Aplikácia %1 s PID %2 požaduje aktiváciu identifikátora CLSID %3 v počítači %4 s explicitne nastavenou úrovňou overovania na %5. Najnižšia úroveň overovania aktivácie, ktorú vyžaduje DCOM, je 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Ak chcete zvýšiť úroveň overenia aktivácie, obráťte sa na dodávateľa aplikácie." |
|
10038 |
Aplikácia %1 s PID %2 požaduje aktiváciu identifikátora CLSID %3 v počítači %4 s predvolenou úrovňou overovania aktivácie na %5. Najnižšia úroveň overovania aktivácie, ktorú vyžaduje DCOM, je 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Ak chcete zvýšiť úroveň overenia aktivácie, obráťte sa na dodávateľa aplikácie." (%1 – Cesta k aplikácii, %2 – PID aplikácie, %3 – CLSID triedy COM, ktorú aplikácia požaduje na aktiváciu, %4 – názov počítača, %5 – hodnota úrovne overovania) |
Dostupnosť
Tieto chybové udalosti sú k dispozícii len pre podmnožinu verzií Windowsu. pozrite si tabuľku nižšie.
|
Verzia Windowsu |
K dispozícii v týchto dátumoch alebo po nich |
|---|---|
|
Windows Server 2022 |
27. septembra 2021 |
|
Windows 10, verzia 2004, Windows 10, verzia 20H2, Windows 10, verzia 21H1 |
1. septembra 2021 |
|
Windows 10, verzia 1909 |
26. augusta 2021 |
|
Windows Server 2019, Windows 10, verzia 1809 |
26. augusta 2021 |
|
Windows Server 2016, Windows 10, verzia 1607 |
14. septembr 2021 |
|
Windows Server 2012 R2 a Windows 8.1 |
12. októbra 2021 |
|
Windows 11, verzia 22H2 |
30. septembra 2022 |
Oprava automatického zvýšenia úrovne požiadavky na strane klienta
Úroveň overenia pre všetky ne anonymné požiadavky na aktiváciu
S cieľom pomôcť znížiť problémy s kompatibilitou aplikácií sme automaticky zvýšili úroveň overenia pre všetky ne anonymné žiadosti o aktiváciu z klientov DCOM systému Windows na minimálne RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Pri tejto zmene sa väčšina požiadaviek klienta DCOM vo Windowse automaticky prijme so zapnutými vytvrdenými zmenami DCOM na strane servera bez akýchkoľvek ďalších úprav klienta DCOM. Okrem toho bude väčšina klientov DCOM systému Windows automaticky pracovať s dcom spevnenie zmien na strane servera bez akýchkoľvek ďalších úprav klienta DCOM.
Poznámka Táto oprava bude aj naďalej zahrnutá v kumulatívnych aktualizáciách.
Časová os aktualizácie opráv
Od prvého vydania v novembri 2022 má oprava automatického povýšenia niekoľko aktualizácií.
-
Aktualizácia z novembra 2022
-
Táto aktualizácia automaticky zvýšila úroveň overovania aktivácie na integritu paketov. Táto zmena bola v systémoch Windows Server 2016 a Windows Server 2019 predvolene vypnutá.
-
-
Aktualizácia z decembra 2022
-
Novembrová zmena bola predvolene povolená pre Windows Server 2016 a Windows Server 2019.
-
Táto aktualizácia sa zaoberala aj problémom, ktorý sa týkal anonymnej aktivácie v systémoch Windows Server 2016 a Windows Server 2019.
-
-
Aktualizácia z januára 2023
-
Táto aktualizácia sa zaoberala problémom, ktorý sa týkal anonymnej aktivácie na platformách z Windows Servera 2008 na Windows 10 (pôvodná verzia vydaná v júli 2015).
-
Ak ste nainštalovali kumulatívne aktualizácie zabezpečenia od januára 2023 do svojich klientov a serverov, budú mať najnovšie auto-elevate patch plne povolené.
Nastavenie databázy Registry na povolenie alebo zakázanie spevňujúcich zmien
Počas fáz časovej osi, v ktorých môžete povoliť alebo zakázať vytvrdujúce zmeny pre CVE-2021-26414, môžete použiť tento kľúč databázy Registry:
-
Cesta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Názov hodnoty: "RequireIntegrityActivationAuthenticationLevel"
-
Typ: dword
-
Údaje hodnoty: default= 0x00000000 znamená zakázanie. 0x00000001 znamená povolené. Ak táto hodnota nie je definovaná, predvolene sa povolí.
Poznámka Údaje hodnôt musíte zadať v šestnástkovom formáte.
Dôležité Po nastavení tohto kľúča databázy Registry je potrebné reštartovať zariadenie, aby sa prejavilo.
Poznámka Zapnutím vyššie uvedeného kľúča databázy Registry budú servery DCOM vynútené Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY alebo vyššej verzie na aktiváciu. Neovplyvňuje to anonymné aktivácie (aktivácia pomocou úrovne overenia RPC_C_AUTHN_LEVEL_NONE). Ak server DCOM umožňuje anonymnú aktiváciu, bude naďalej povolený aj v prípade, že sú povolené zmeny stvrdnutia DCOM.
Poznámka Táto hodnota databázy Registry predvolene neexistuje. musíte ho vytvoriť. Windows ho prečíta, ak existuje, a neprepíše ho.
Poznámka Inštalácia neskorších aktualizácií sa nezmení ani neodstráni existujúce položky a nastavenia databázy Registry.
