Rezime
Ispravke od 13. jula 2021. Windows a kasnije Windows dodaju zaštitu za CVE-2021-33757.
Nakon instalacije ispravki od 13. jula 2021. Windows ili novijih Windows ispravki, napredno šifrovanje standarda za šifrovanje (AES) biće željeni metod za Windows klijente kada koriste zatamnjeni MS-SAMR protokol za operacije lozinke ako SAM server podržava AES šifrovanje. Ako SAM server ne podržava AES šifrovanje, biće omogućena povratak na zatamnjeno RC4 šifrovanje.
Promene u CVE-20201-33757 specifične su za MS-SAMR protokol i nezavisne su od drugih protokola za potvrdu identiteta. MS-SAMR koristi SMB preko RPC-a i imenovanih kanala. Iako SMB takođe podržava šifrovanje, on podrazumevano nije omogućen. Promene u funkciji CVE-20201-33757 podrazumevano su omogućene i pružaju dodatnu bezbednost na SAM sloju. Dodatne promene konfiguracije nisu potrebne izvan zaštite instalacije za VERZIJU 20201-33757 uključene u ispravke za verzije Windows od 13. jula 2021. ili novije Windows ispravke za sve podržane verzije programa Windows. Nepodržane verzije programa Windows treba da se obustave ili nadograde na podržanu verziju.
Napomogućava CVE-2021-33757 menja samo način na koji se lozinke šifruju u prenosu kada koristite određene APIT-ove MS-SAMR protokola i posebno NE MENJAJ način na koji se lozinkečuvaju u miro vreme. Više informacija o tome kako se lozinke šifruju dok se drže u aktivnom direktorijumu i lokalno u SAM bazi podataka (registratoru), pogledajte Pregled lozinki.
Više informacija
-
Obrazac promene lozinke
Ispravke menjaju obrazac promene lozinke protokola tako što dodaju novi metod promene lozinke koji će koristiti AES.
Stari metod sa RC4 metodom
Novi metod sa AES-om
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Kompletnu listu MS-SAMR OpNums, pogledajte događaji obrade poruka i Pravila sekvencija.
-
Obrazac postavljanja lozinki
Ispravke menjaju obrazac skupa lozinki protokola tako što dodaju dva nova klasa korisničkih informacija u metod SamrSetInformationUser2 (Opnum 58). Informacije o lozinki možete da podesite na sledeći sledeći nalog.
Stari metod sa RC4 metodom
Novi metod sa AES-om
SamrSetInformationUser2 (Opnum 58) zajedno sa userInternal4InformationNew koja čuva šifrovanu korisničku lozinku sa RC4.
SamrSetInformationUser2 (Opnum 58) zajedno sa UserInternal8Information koji čuva šifrovanu korisničku lozinku sa AES-om.
SamrSetInformationUser2 (Opnum 58) zajedno sa uslugom UserInternal5InformationNew koja čuva šifrovanu korisničku lozinku sa RC4 i svim ostalim korisničkim atributima.
SamrSetInformationUser2 (Opnum 58) zajedno sa UserInternal7Information koji čuva šifrovanu lozinku sa AES-om i svim ostalim korisničkim atributima.
Postojeći Metod SamrConnect5 se obično koristi za uspostavljanje veze između SAM klijenta i servera.
Ažurirani server će sada vratiti novi bit u SamrConnect5() odgovoru kao što je definisano u SAMPR_REVISION_INFO_V1.
Vrednost |
Značenje |
0x00000010 |
Ova vrednost, kada je klijent označen potvrdom, ukazuje na to da klijent treba da koristi AES šifrovanje sa SAMPR_ENCRYPTED_PASSWORD_AES za šifrovanje bafera lozinke kada se šalju preko žice. Pogledajte AES Korišćenje cipher (odeljak 3.2.2.4)i SAMPR_ENCRYPTED_PASSWORD_AES (odeljak 2.2.6.32). |
Ako ažurirani server podržava AES, klijent će koristiti nove metode i nove klase informacija za operacije lozinke. Ako server ne vrati ovu zastavicu ili ako klijent nije ažuriran, klijent će ponovo koristiti prethodne metode sa RC4 šifrovanje.
Operacije postavljanja lozinki zahtevaju upisivi kontroler domena (RWDC). Promene lozinki kontroler domena (RODC) prosleđene su samo za čitanje na RWDC. Svi uređaji moraju da se ažuriraju da bi se AES koristio. Na primer:
-
Ako klijent, RODC ili RWDC nisu ažurirani, koristiće se RC4 šifrovanje.
-
Ako su klijent, RODC i RWDC ažurirani, koristiće se AES šifrovanje.
Ispravke od 13. jula 2021. dodaju četiri nova događaja u evidenciju sistema da bi se identifikovali uređaji koji nisu ažurirani i pomogle da se poboljša bezbednost.
-
ID događaja konfiguracije 16982 ili 16983 je prijavljen pri pokretanju ili nakon promene konfiguracije registratora.
ID događaja 16982Evidencija događaja
Sistem
Izvor događaja
Directory-Services-SAM
ID događaja
16982
Nivo
Informacije
Tekst poruke o događaju
Menadžer bezbednosnog naloga sada evidentiram vertikalne događaje za udaljene klijente koji pozivaju zatamnjenu promenu lozinke ili postavlja RPC metode. Ova postavka može da izazove veliki broj poruka i trebalo bi da se koristi samo tokom kratkog vremenskog perioda za dijagnostikonje problema.
Evidencija događaja
Sistem
Izvor događaja
Directory-Services-SAM
ID događaja
16983
Nivo
Informacije
Tekst poruke o događaju
Menadžer bezbednosnih naloga sada evidentira periodične događaje rezimiranja za udaljene klijente koji pozivaju zatamnjenu promenu lozinke ili postavlja RPC metode.
-
Nakon primene ispravke od 13. jula 2021, događaj rezimea 16984 se evidentira u evidenciju događaja sistema svakih 60 minuta.
ID događaja 16984Evidencija događaja
Sistem
Izvor događaja
Directory-Services-SAM
ID događaja
16984
Nivo
Informacije
Tekst poruke o događaju
Menadžer bezbednosnog naloga otkrio je %x promenu zasićene lozinke ili postavio pozive RPC metoda u poslednjih 60 minuta.
-
Posle konfigurisanja evidentiranja događaja u glagolu, ID događaja 16985 se evidentuje u evidenciju događaja System svaki put kada se zakasni RPC metod koristi za promenu ili postavljanje lozinke naloga.
ID događaja 16985Evidencija događaja
Sistem
Izvor događaja
Directory-Services-SAM
ID događaja
16985
Nivo
Informacije
Tekst poruke o događaju
Menadžer bezbednosnog naloga otkrio je upotrebu zatamnjene promene ili postavlja metod RPC-a iz mrežnog klijenta. Razmotrite nadogradnju operativnog sistema klijenta ili aplikacije da biste koristili najnoviju i bezbedniju verziju ovog metoda.
Detalji:
RPC metod: %1
Mrežna adresa klijenta: %2
SID klijenta: %3
Korisničko ime: %4
Da biste evidencijili "iD događaja" 16985, preklopite sledeću vrednost registratora na serveru ili kontroleru domena.
Putanja
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Tip
REG_DWORD
Ime vrednosti
AuditLegacyPasswordRpcMethods
Podaci o vrednosti
1 = evidentiranje glagola je omogućeno
0 ili ne postoji = evidentiranje glagola je onemogućeno. Samo događaji rezimea. (Podrazumevano)
Kao što je opisano u članku SamrUnicodeChangePasswordUser4 (Opnum 73), kada koristite novi metod SamrUnicodeChangeChangePasswordUser4, klijent i server će koristiti PBKDF2 algoritam za izvedeno šifrovanje i dešifrovanje iz stare lozinke čistog teksta. To je zato što je stara lozinka jedina uobičajena tajna koja je poznata i serveru i klijentu.
Više informacija o PBKDF2 potražite u temi BCryptDeriveKeyPBKDF2 (bcrypt.h).
Ako morate da promenite performanse i bezbednosne razloge, možete da prilagodite broj PBKDF2 iteracija koje klijent koristi za promenu lozinke tako što ćete podesiti sledeću vrednost registratora na klijentu.
Napomena: Smanjivanje broja PBKDF2 iteracija smanjiće bezbednost. Ne preporučujemo da se broj smanjuje na podrazumevani. Međutim, preporučujemo da koristite najveći mogući broj PBKDF2 iteracija.
Putanja |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Tip |
REG_DWORD |
Ime vrednosti |
PBKDF2Iterations |
Podaci o vrednosti |
Minimalno od 5.000 do maksimalno 1.000.000. |
Podrazumevana vrednost |
10,000 |
Napomena: PBKDF2 se ne koristi za operacije postavljanja lozinki. Za operacije postavljanja lozinki ključ SMB sesije je deljena tajna između klijenta i servera i koristi se kao osnova za preusmeštene ključeve za šifrovanje.
Više informacija potražite u temi Pribavljanje ključa SMB sesije.
Najčešća pitanja (najčešća pitanja)
Prelaženje naniže se dešava kada server ili klijent ne podržavaju AES.
Ažurirani serveri će evidentostiti događaje kada se koriste zatamnjene metode koji koriste RC4.
Trenutno nema dostupnog režima sprovođenja, ali ga možda neće biti u budućnosti. Nemamo datum.
Ako uređaj nezavisnog proizvođača ne koristi SAMR protokol, to nije važno. Nezavisni prodavci koji primenjuju MS-SAMR protokol mogu da odaberu da primene ovo. Obratite se nezavisnom prodavcu za sva pitanja.
Nisu potrebne dodatne promene.
Ovaj protokol je začet, a predviđamo da je njegova upotreba veoma niska. Zatamnjene aplikacije mogu da koriste ove AČI-je. Takođe, neke Active Directory alatke kao što su AD Korisnici i Računari MMC koriste SAMR.
ne. Ovo utiče samo na promene lozinki koje koriste ove određene SAMR A API-je.
Da. PBKDF2 je jeftiniji od RC4. Ako se istovremeno dešava mnogo promena lozinki na kontroleru domena koji poziva SamrUnicodeChangeChangePasswordUser4 API, to može da utiče na učitavanje LSASS. Ako je neophodno, možete da podesimo PBKDF2 iteracije na klijente, ali ne preporučujemo da se smanjivanje od podrazumevanog jer bi to smanjilo bezbednost.
Reference
Potvrda identiteta šifrovanja pomoću AES-CBC i HMAC-SHA
Oduzimanje informacija trećih strana
Pružamo kontakt informacije nezavisnih osoba da bismo vam pomogli da pronađete tehničku podršku. Te kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo da će biti precizne ove kontakt informacije nezavisnih osoba.