อัปเดตแล้ว 20 มีนาคม 2023 - ส่วนความพร้อมใช้งาน
บทสรุป
โพรโทคอลระยะไกล Distributed Component Object Model (DCOM) คือโพรโทคอลสําหรับการแสดงวัตถุแอปพลิเคชันโดยใช้การเรียกกระบวนการระยะไกล (RPC) DCOM ใช้สําหรับการสื่อสารระหว่างส่วนประกอบซอฟต์แวร์ของอุปกรณ์เครือข่าย การเปลี่ยนแปลงการแข็งตัวใน DCOM จําเป็นสําหรับ CVE-2021-26414 ดังนั้น เราขอแนะนําให้คุณตรวจสอบว่าแอปพลิเคชันไคลเอ็นต์หรือเซิร์ฟเวอร์ในสภาพแวดล้อมของคุณที่ใช้ DCOM หรือ RPC ทํางานตามที่คาดไว้โดยเปิดใช้งานการเปลี่ยนแปลงการชุบแข็งหรือไม่
หมายเหตุ เราขอแนะนําให้คุณติดตั้งการอัปเดตความปลอดภัยล่าสุดที่พร้อมใช้งาน ซึ่งให้การป้องกันขั้นสูงจากภัยคุกคามด้านความปลอดภัยล่าสุด นอกจากนี้ ยังให้ความสามารถที่เราเพิ่มลงในการสนับสนุนการโยกย้ายด้วย สําหรับข้อมูลเพิ่มเติมและบริบทเกี่ยวกับวิธีที่เราทําให้ DCOM แข็งตัว โปรดดู การทําให้การรับรองความถูกต้อง DCOM แข็งตัว: สิ่งที่คุณจําเป็นต้องทราบ
ขั้นตอนแรกของการอัปเดต DCOM ได้รับการเผยแพร่ในวันที่ 8 มิถุนายน 2021 ในการอัปเดตนั้น การชุบแข็ง DCOM ถูกปิดใช้งานตามค่าเริ่มต้น คุณสามารถเปิดใช้งานได้โดยปรับเปลี่ยนรีจิสทรีตามที่อธิบายไว้ในส่วน "การตั้งค่ารีจิสทรีเพื่อเปิดใช้งานหรือปิดใช้งานการเปลี่ยนแปลงการเพิ่มความแข็งแกร่ง" ที่ด้านล่าง การอัปเดต DCOM ในระยะที่สองมีการเผยแพร่ในวันที่ 14 มิถุนายน 2022 ซึ่งเปลี่ยนการแข็งตัวเป็นเปิดใช้งานตามค่าเริ่มต้น แต่ยังคงรักษาความสามารถในการปิดใช้งานการเปลี่ยนแปลงโดยใช้การตั้งค่ารีจิสทรีคีย์ ขั้นตอนสุดท้ายของการอัปเดต DCOM จะเผยแพร่ในเดือนมีนาคม 2023 ซึ่งจะเปิดใช้งานการชุบแข็ง DCOM และลบความสามารถในการปิดใช้งาน
ไทม์ไลน์
|
การเผยแพร่การอัปเดต |
การเปลี่ยนแปลงลักษณะการทํางาน |
|
วันที่ 8 มิถุนายน 2564 |
Phase 1 Release - Hardening changes disabled by default but with the ability to enable them using a registry key. |
|
วันที่ 14 มิถุนายน 2565 |
Phase 2 Release - Hardening changes enabled by default but with the ability to disable them using a registry key. |
|
วันที่ 14 มีนาคม 2566 |
การเผยแพร่ขั้นตอนที่ 3 - เปิดใช้งานการเปลี่ยนแปลงการเพิ่มความแข็งแกร่งตามค่าเริ่มต้นโดยไม่มีความสามารถในการปิดใช้งาน เมื่อถึงจุดนี้ คุณต้องแก้ไขปัญหาความเข้ากันได้กับการเปลี่ยนแปลงการชุบแข็งและแอปพลิเคชันในสภาพแวดล้อมของคุณ |
การทดสอบความเข้ากันได้ในการชุบแข็ง DCOM
เหตุการณ์ข้อผิดพลาด DCOM ใหม่
เพื่อช่วยคุณระบุแอปพลิเคชันที่อาจมีปัญหาความเข้ากันได้หลังจากที่เราเปิดใช้งานการเปลี่ยนแปลงการเพิ่มความปลอดภัย DCOM เราได้เพิ่มเหตุการณ์ข้อผิดพลาด DCOM ใหม่ในบันทึกของระบบ ดูตารางด้านล่าง ระบบจะบันทึกเหตุการณ์เหล่านี้หากตรวจพบว่าแอปพลิเคชันไคลเอ็นต์ DCOM พยายามเปิดใช้งานเซิร์ฟเวอร์ DCOM โดยใช้ระดับการรับรองความถูกต้องที่น้อยกว่า RPC_C_AUTHN_LEVEL_PKT_INTEGRITY คุณสามารถติดตามไปยังอุปกรณ์ไคลเอ็นต์ได้จากบันทึกเหตุการณ์ทางฝั่งเซิร์ฟเวอร์และใช้บันทึกเหตุการณ์ฝั่งไคลเอ็นต์เพื่อค้นหาแอปพลิเคชัน
เหตุการณ์เซิร์ฟเวอร์ - บ่งชี้ว่าเซิร์ฟเวอร์ได้รับคําขอในระดับต่ํากว่า
|
ID เหตุการณ์ |
ข้อความ |
|---|---|
|
10036 |
"นโยบายระดับการรับรองความถูกต้องฝั่งเซิร์ฟเวอร์ไม่อนุญาตให้ผู้ใช้ %1\%2 SID (%3) จากที่อยู่ %4 เพื่อเปิดใช้งานเซิร์ฟเวอร์ DCOM โปรดเพิ่มระดับการรับรองความถูกต้องในการเปิดใช้งานอย่างน้อยเพื่อ RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ในแอปพลิเคชันไคลเอ็นต์" (%1 – โดเมน, %2 – ชื่อผู้ใช้, %3 – SID ผู้ใช้, %4 – ที่อยู่ IP ของไคลเอ็นต์) |
เหตุการณ์ไคลเอ็นต์ – ระบุว่าแอปพลิเคชันใดกําลังส่งคําขอระดับต่ํากว่า
|
ID เหตุการณ์ |
ข้อความ |
|---|---|
|
10037 |
"โปรแกรมประยุกต์ %1 ที่มี PID %2 ร้องขอให้เปิดใช้งาน CLSID %3 บนคอมพิวเตอร์ %4 ที่มีการตั้งค่าระดับการรับรองความถูกต้องอย่างชัดเจนที่ %5 ระดับการรับรองความถูกต้องการเปิดใช้งานต่ําสุดที่กําหนดโดย DCOM คือ 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) เมื่อต้องการยกระดับการรับรองความถูกต้องในการเปิดใช้งาน โปรดติดต่อผู้จัดจําหน่ายแอปพลิเคชัน" |
|
10038 |
"โปรแกรมประยุกต์ %1 ที่มี PID %2 ร้องขอการเปิดใช้งาน CLSID %3 บนคอมพิวเตอร์ %4 ที่มีระดับการรับรองความถูกต้องการเปิดใช้งานเริ่มต้นที่ %5 ระดับการรับรองความถูกต้องการเปิดใช้งานต่ําสุดที่กําหนดโดย DCOM คือ 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) เมื่อต้องการยกระดับการรับรองความถูกต้องในการเปิดใช้งาน โปรดติดต่อผู้จัดจําหน่ายแอปพลิเคชัน" (%1 – เส้นทางโปรแกรมประยุกต์, %2 – PID ของโปรแกรมประยุกต์, %3 – CLSID ของคลาส COM ที่โปรแกรมประยุกต์ร้องขอให้เปิดใช้งาน, %4 – ชื่อคอมพิวเตอร์, %5 – ค่าของระดับการรับรองความถูกต้อง) |
ความพร้อมบริการ
เหตุการณ์ข้อผิดพลาดเหล่านี้จะพร้อมใช้งานสําหรับชุดย่อยของ Windows เวอร์ชันเท่านั้น ดูตารางด้านล่าง
|
เวอร์ชันของ Windows |
พร้อมใช้งานในวันที่หรือหลังวันที่เหล่านี้ |
|---|---|
|
Windows Server 2022 |
วันที่ 27 กันยายน 2021 |
|
Windows 10 เวอร์ชัน 2004 Windows 10 เวอร์ชัน 20H2 Windows 10 เวอร์ชัน 21H1 |
วันที่ 1 กันยายน 2021 |
|
Windows 10 เวอร์ชัน 1909 |
วันที่ 26 สิงหาคม 2564 |
|
Windows Server 2019, Windows 10 เวอร์ชัน 1809 |
วันที่ 26 สิงหาคม 2564 |
|
Windows Server 2016, Windows 10 เวอร์ชัน 1607 |
14 กันยายน 2021 |
|
Windows Server 2012 R2 และ Windows 8.1 |
12 ตุลาคม 2021 |
|
Windows 11 เวอร์ชัน 22H2 |
วันที่ 30 กันยายน 2565 |
โปรแกรมแก้ไขการยกระดับอัตโนมัติของคําขอฝั่งไคลเอ็นต์
ระดับการรับรองความถูกต้องสําหรับการร้องขอการเปิดใช้งานที่ไม่ระบุชื่อทั้งหมด
เพื่อช่วยลดปัญหาความเข้ากันได้ของแอป เราได้ยกระดับการรับรองความถูกต้องสําหรับการร้องขอการเปิดใช้งานที่ไม่ใช่แบบไม่ระบุชื่อทั้งหมดจากไคลเอ็นต์ DCOM บน Windows เป็น RPC_C_AUTHN_LEVEL_PKT_INTEGRITY เป็นอย่างน้อย ด้วยการเปลี่ยนแปลงนี้ การร้องขอไคลเอ็นต์ DCOM บน Windows ส่วนใหญ่จะได้รับการยอมรับโดยอัตโนมัติเมื่อเปิดใช้งานการเปลี่ยนแปลงการทําให้แน่นของ DCOM บนฝั่งเซิร์ฟเวอร์โดยไม่มีการปรับเปลี่ยนใดๆ เพิ่มเติมกับไคลเอ็นต์ DCOM นอกจากนี้ ไคลเอ็นต์ Windows DCOM ส่วนใหญ่จะทํางานกับการเปลี่ยนแปลงการทําให้ DCOM แข็งตัวบนฝั่งเซิร์ฟเวอร์โดยอัตโนมัติโดยไม่มีการปรับเปลี่ยนใดๆ เพิ่มเติมไปยังไคลเอ็นต์ DCOM
หมายเหตุ โปรแกรมแก้ไขนี้จะยังคงรวมอยู่ในการอัปเดตแบบสะสม
ไทม์ไลน์การอัปเดตโปรแกรมแก้ไข
นับตั้งแต่การเผยแพร่ครั้งแรกในเดือนพฤศจิกายน 2022 โปรแกรมแก้ไขยกระดับอัตโนมัติมีการอัปเดตเล็กน้อย
-
การอัปเดตเดือนพฤศจิกายน 2022
-
การอัปเดตนี้ยกระดับการรับรองความถูกต้องในการเปิดใช้งานขึ้นโดยอัตโนมัติเพื่อความสมบูรณ์ของแพคเก็ต การเปลี่ยนแปลงนี้ถูกปิดใช้งานตามค่าเริ่มต้นบน Windows Server 2016 และ Windows Server 2019
-
-
การอัปเดตเดือนธันวาคม 2022
-
การเปลี่ยนแปลงในเดือนพฤศจิกายนเปิดใช้งานตามค่าเริ่มต้นสําหรับ Windows Server 2016 และ Windows Server 2019
-
การอัปเดตนี้ยังแก้ไขปัญหาที่ส่งผลกระทบต่อการเปิดใช้งานแบบไม่ระบุชื่อบน Windows Server 2016 และ Windows Server 2019
-
-
การอัปเดตประจําเดือนมกราคม 2023
-
การอัปเดตนี้แก้ไขปัญหาที่ส่งผลกระทบต่อการเปิดใช้งานแบบไม่ระบุชื่อบนแพลตฟอร์มจาก Windows Server 2008 ไปยัง Windows 10 (เวอร์ชันแรกเริ่มที่เปิดตัวเดือนกรกฎาคม 2558)
-
ถ้าคุณได้ติดตั้งการอัปเดตความปลอดภัยแบบสะสมณเดือนมกราคม 2023 ในไคลเอ็นต์และเซิร์ฟเวอร์ของคุณ การอัปเดตเหล่านั้นจะมีโปรแกรมแก้ไขแบบยกระดับอัตโนมัติล่าสุดเปิดใช้งานอย่างสมบูรณ์
การตั้งค่ารีจิสทรีเพื่อเปิดหรือปิดใช้งานการเปลี่ยนแปลงการทําให้ปลอดภัย
ระหว่างขั้นตอนไทม์ไลน์ที่คุณสามารถเปิดหรือปิดใช้งานการเปลี่ยนแปลงการชุบแข็งสําหรับ CVE-2021-26414 คุณสามารถใช้รีจิสทรีคีย์ต่อไปนี้:
-
เส้นทาง: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
ชื่อค่า: "RequireIntegrityActivationAuthenticationLevel"
-
ชนิด: dword
-
ข้อมูลค่า: ค่าเริ่มต้น= 0x00000000 หมายถึงถูกปิดใช้งาน 0x00000001 หมายถึงเปิดใช้งานแล้ว ถ้าไม่ได้กําหนดค่านี้ ไว้ ค่าเริ่มต้นจะเปิดใช้งาน
หมาย เหตุ คุณต้องใส่ข้อมูลค่าในรูปแบบเลขฐานสิบหก
สำคัญ คุณต้องรีสตาร์ตอุปกรณ์ของคุณหลังจากตั้งค่ารีจิสทรีคีย์นี้เพื่อให้มีผล
หมายเหตุ การเปิดใช้งานรีจิสทรีคีย์ด้านบนจะทําให้เซิร์ฟเวอร์ DCOM บังคับใช้Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY หรือสูงกว่าสําหรับการเปิดใช้งาน การดําเนินการนี้ไม่มีผลต่อการเปิดใช้งานแบบไม่ระบุชื่อ (การเปิดใช้งานโดยใช้ระดับการรับรองความถูกต้อง RPC_C_AUTHN_LEVEL_NONE) ถ้าเซิร์ฟเวอร์ DCOM อนุญาตให้เปิดใช้งานแบบไม่ระบุชื่อ เซิร์ฟเวอร์จะยังคงได้รับอนุญาตแม้ว่าจะมีการเปิดใช้งานการเปลี่ยนแปลงการทําให้แข็งตัวของ DCOM
หมายเหตุ ค่ารีจิสทรีนี้ไม่มีอยู่ตามค่าเริ่มต้น คุณต้องสร้าง Windows จะอ่านข้อความนั้นถ้ามีอยู่ และจะไม่เขียนทับ
หมายเหตุ การติดตั้งการอัปเดตในภายหลังจะไม่เปลี่ยนแปลงหรือเอารายการรีจิสทรีและการตั้งค่าที่มีอยู่ออก
