Rezime

Ispravke od 13. jula 2021. Windows a kasnije Windows dodaju zaštitu za CVE-2021-33757.

Nakon instalacije ispravki od 13. jula 2021. Windows ili novijih Windows ispravki, napredno šifrovanje standarda za šifrovanje (AES) biće željeni metod za Windows klijente kada koriste zatamnjeni MS-SAMR protokol za operacije lozinke ako SAM server podržava AES šifrovanje. Ako SAM server ne podržava AES šifrovanje, biće omogućena povratak na zatamnjeno RC4 šifrovanje.

Promene u CVE-20201-33757 specifične su za MS-SAMR protokol i nezavisne su od drugih protokola za potvrdu identiteta. MS-SAMR koristi SMB preko RPC-a i imenovanih kanala. Iako SMB takođe podržava šifrovanje, on podrazumevano nije omogućen. Promene u funkciji CVE-20201-33757 podrazumevano su omogućene i pružaju dodatnu bezbednost na SAM sloju. Dodatne promene konfiguracije nisu potrebne izvan zaštite instalacije za VERZIJU 20201-33757 uključene u ispravke za verzije Windows od 13. jula 2021. ili novije Windows ispravke za sve podržane verzije programa Windows. Nepodržane verzije programa Windows treba da se obustave ili nadograde na podržanu verziju.

Napomogućava CVE-2021-33757 menja samo način na koji se lozinke šifruju u prenosu kada koristite određene APIT-ove MS-SAMR protokola i posebno NE MENJAJ način na koji se lozinkečuvaju u miro vreme. Više informacija o tome kako se lozinke šifruju dok se drže u aktivnom direktorijumu i lokalno u SAM bazi podataka (registratoru), pogledajte Pregled lozinki.

Više informacija 

Postojeći Metod SamrConnect5 se obično koristi za uspostavljanje veze između SAM klijenta i servera.

Ažurirani server će sada vratiti novi bit u SamrConnect5() odgovoru kao što je definisano u SAMPR_REVISION_INFO_V1. 

Vrednost

Značenje

0x00000010

Ova vrednost, kada je klijent označen potvrdom, ukazuje na to da klijent treba da koristi AES šifrovanje sa SAMPR_ENCRYPTED_PASSWORD_AES za šifrovanje bafera lozinke kada se šalju preko žice. Pogledajte AES Korišćenje cipher (odeljak 3.2.2.4)i SAMPR_ENCRYPTED_PASSWORD_AES (odeljak 2.2.6.32).

Ako ažurirani server podržava AES, klijent će koristiti nove metode i nove klase informacija za operacije lozinke. Ako server ne vrati ovu zastavicu ili ako klijent nije ažuriran, klijent će ponovo koristiti prethodne metode sa RC4 šifrovanje.

Operacije postavljanja lozinki zahtevaju upisivi kontroler domena (RWDC). Promene lozinki kontroler domena (RODC) prosleđene su samo za čitanje na RWDC. Svi uređaji moraju da se ažuriraju da bi se AES koristio. Na primer:

  • Ako klijent, RODC ili RWDC nisu ažurirani, koristiće se RC4 šifrovanje.

  • Ako su klijent, RODC i RWDC ažurirani, koristiće se AES šifrovanje.

Ispravke od 13. jula 2021. dodaju četiri nova događaja u evidenciju sistema da bi se identifikovali uređaji koji nisu ažurirani i pomogle da se poboljša bezbednost.

  • ID događaja konfiguracije 16982 ili 16983 je prijavljen pri pokretanju ili nakon promene konfiguracije registratora.ID događaja 16982

    Evidencija događaja

    Sistem

    Izvor događaja

    Directory-Services-SAM

    ID događaja

    16982

    Nivo

    Informacije

    Tekst poruke o događaju

    Menadžer bezbednosnog naloga sada evidentiram vertikalne događaje za udaljene klijente koji pozivaju zatamnjenu promenu lozinke ili postavlja RPC metode. Ova postavka može da izazove veliki broj poruka i trebalo bi da se koristi samo tokom kratkog vremenskog perioda za dijagnostikonje problema.

    ID događaja 16983

    Evidencija događaja

    Sistem

    Izvor događaja

    Directory-Services-SAM

    ID događaja

    16983

    Nivo

    Informacije

    Tekst poruke o događaju

    Menadžer bezbednosnih naloga sada evidentira periodične događaje rezimiranja za udaljene klijente koji pozivaju zatamnjenu promenu lozinke ili postavlja RPC metode.

  • Nakon primene ispravke od 13. jula 2021, događaj rezimea 16984 se evidentira u evidenciju događaja sistema svakih 60 minuta.ID događaja 16984

    Evidencija događaja

    Sistem

    Izvor događaja

    Directory-Services-SAM

    ID događaja

    16984

    Nivo

    Informacije

    Tekst poruke o događaju

    Menadžer bezbednosnog naloga otkrio je %x promenu zasićene lozinke ili postavio pozive RPC metoda u poslednjih 60 minuta.

  • Posle konfigurisanja evidentiranja događaja u glagolu, ID događaja 16985 se evidentuje u evidenciju događaja System svaki put kada se zakasni RPC metod koristi za promenu ili postavljanje lozinke naloga.ID događaja 16985

    Evidencija događaja

    Sistem

    Izvor događaja

    Directory-Services-SAM

    ID događaja

    16985

    Nivo

    Informacije

    Tekst poruke o događaju

    Menadžer bezbednosnog naloga otkrio je upotrebu zatamnjene promene ili postavlja metod RPC-a iz mrežnog klijenta. Razmotrite nadogradnju operativnog sistema klijenta ili aplikacije da biste koristili najnoviju i bezbedniju verziju ovog metoda.

    Detalji:

    RPC metod: %1

    Mrežna adresa klijenta: %2

    SID klijenta: %3

    Korisničko ime: %4 

    Da biste evidencijili "iD događaja" 16985, preklopite sledeću vrednost registratora na serveru ili kontroleru domena.

    Putanja

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Tip

    REG_DWORD

    Ime vrednosti

    AuditLegacyPasswordRpcMethods

    Podaci o vrednosti

     1 = evidentiranje glagola je omogućeno

     0 ili ne postoji = evidentiranje glagola je onemogućeno. Samo događaji rezimea. (Podrazumevano)

Kao što je opisano u članku SamrUnicodeChangePasswordUser4 (Opnum 73), kada koristite novi metod SamrUnicodeChangeChangePasswordUser4, klijent i server će koristiti PBKDF2 algoritam za izvedeno šifrovanje i dešifrovanje iz stare lozinke čistog teksta. To je zato što je stara lozinka jedina uobičajena tajna koja je poznata i serveru i klijentu.  

Više informacija o PBKDF2 potražite u temi BCryptDeriveKeyPBKDF2 (bcrypt.h).

Ako morate da promenite performanse i bezbednosne razloge, možete da prilagodite broj PBKDF2 iteracija koje klijent koristi za promenu lozinke tako što ćete podesiti sledeću vrednost registratora na klijentu.

Napomena: Smanjivanje broja PBKDF2 iteracija smanjiće bezbednost.  Ne preporučujemo da se broj smanjuje na podrazumevani. Međutim, preporučujemo da koristite najveći mogući broj PBKDF2 iteracija.

Putanja 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Tip 

REG_DWORD 

Ime vrednosti 

PBKDF2Iterations 

Podaci o vrednosti 

Minimalno od 5.000 do maksimalno 1.000.000.

Podrazumevana vrednost 

10,000  

Napomena: PBKDF2 se ne koristi za operacije postavljanja lozinki. Za operacije postavljanja lozinki ključ SMB sesije je deljena tajna između klijenta i servera i koristi se kao osnova za preusmeštene ključeve za šifrovanje. 

Više informacija potražite u temi Pribavljanje ključa SMB sesije.

Najčešća pitanja (najčešća pitanja)

Prelaženje naniže se dešava kada server ili klijent ne podržavaju AES.   

Ažurirani serveri će evidentostiti događaje kada se koriste zatamnjene metode koji koriste RC4. 

Trenutno nema dostupnog režima sprovođenja, ali ga možda neće biti u budućnosti. Nemamo datum. 

Ako uređaj nezavisnog proizvođača ne koristi SAMR protokol, to nije važno. Nezavisni prodavci koji primenjuju MS-SAMR protokol mogu da odaberu da primene ovo. Obratite se nezavisnom prodavcu za sva pitanja. 

Nisu potrebne dodatne promene.  

Ovaj protokol je začet, a predviđamo da je njegova upotreba veoma niska. Zatamnjene aplikacije mogu da koriste ove AČI-je. Takođe, neke Active Directory alatke kao što su AD Korisnici i Računari MMC koriste SAMR.

ne. Ovo utiče samo na promene lozinki koje koriste ove određene SAMR A API-je.

Da. PBKDF2 je jeftiniji od RC4. Ako se istovremeno dešava mnogo promena lozinki na kontroleru domena koji poziva SamrUnicodeChangeChangePasswordUser4 API, to može da utiče na učitavanje LSASS. Ako je neophodno, možete da podesimo PBKDF2 iteracije na klijente, ali ne preporučujemo da se smanjivanje od podrazumevanog jer bi to smanjilo bezbednost.  

Reference

Potvrda identiteta šifrovanja pomoću AES-CBC i HMAC-SHA

AES korišćenje kodera

Oduzimanje informacija trećih strana

Pružamo kontakt informacije nezavisnih osoba da bismo vam pomogli da pronađete tehničku podršku. Te kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo da će biti precizne ove kontakt informacije nezavisnih osoba.

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.