GÜNCEL -LEŞTİRİLMİŞ 20 Mart 2023 - Kullanılabilirlik bölümü
Özet
Dağıtılmış Bileşen Nesne Modeli (DCOM) Uzak Protokolü, uzak yordam çağrıları (RPC) kullanarak uygulama nesnelerini kullanıma sunma protokolüdür. DCOM, ağa bağlı cihazların yazılım bileşenleri arasındaki iletişim için kullanılır. CVE-2021-26414 için DCOM'da sağlamlaştırma değişiklikleri gerekiyordu. Bu nedenle, ortamınızda DCOM veya RPC kullanan istemci veya sunucu uygulamalarının sağlamlaştırma değişiklikleri etkinken beklendiği gibi çalışıp çalışmadığını doğrulamanızı öneririz.
Not Kullanılabilir en son güvenlik güncelleştirmesini yüklemenizi kesinlikle öneririz. En son güvenlik tehditlerine karşı gelişmiş koruma sağlar. Ayrıca geçişi desteklemek için eklediğimiz özellikleri de sağlar. DCOM'u nasıl sağlamlaştırdığımız hakkında daha fazla bilgi ve bağlam için bkz. DCOM kimlik doğrulamasını sağlamlaştırma: bilmeniz gerekenler.
DCOM güncelleştirmelerinin ilk aşaması 8 Haziran 2021'de yayımlandı. Bu güncelleştirmede DCOM sağlamlaştırması varsayılan olarak devre dışı bırakıldı. Aşağıdaki "Sağlamlaştırma değişikliklerini etkinleştirmek veya devre dışı bırakmak için kayıt defteri ayarı" bölümünde açıklandığı gibi kayıt defterini değiştirerek bunları etkinleştirebilirsiniz. DCOM güncelleştirmelerinin ikinci aşaması 14 Haziran 2022'de yayımlandı. Bu, sağlamlaştırmayı varsayılan olarak etkin olarak değiştirdi ancak kayıt defteri anahtarı ayarlarını kullanarak değişiklikleri devre dışı bırakma özelliğini korudu. DCOM güncelleştirmelerinin son aşaması Mart 2023'te yayımlanacaktır. DCOM sağlamlaştırmasını etkin tutar ve devre dışı bırakma özelliğini kaldırır.
Zaman Çizelgesi
Güncelleştirme sürümü |
Davranış değişikliği |
8 Haziran 2021, Ağustos 2021, Saat 20:00 |
1. Aşama Sürüm - Değişiklikleri sağlamlaştırma varsayılan olarak devre dışıdır ancak bunları kayıt defteri anahtarı kullanarak etkinleştirme özelliğiyle devre dışı bırakır. |
14 Haziran 2022, Ağustos 2022, Temmuz 2022, Temmuz 2022, Temmuz |
2. Aşama Sürüm - Değişiklikleri varsayılan olarak etkin ancak kayıt defteri anahtarı kullanarak devre dışı bırakma özelliğiyle sağlamlaştırma. |
14 Mart 2023, İstanbul |
3. Aşama Sürümü - Değişiklikleri devre dışı bırakma özelliği olmadan varsayılan olarak etkin hale getirmek. Bu noktaya kadar, ortamınızdaki sağlamlaştırma değişiklikleri ve uygulamalarıyla ilgili uyumluluk sorunlarını çözmeniz gerekir. |
DCOM sağlamlaştırma uyumluluğunu test etme
Yeni DCOM Hata Olayları
DCOM güvenlik sağlamlaştırma değişikliklerini etkinleştirdikten sonra uyumluluk sorunlarıyla karşılaşabilecek uygulamaları belirlemenize yardımcı olmak için Sistem günlüğüne yeni DCOM hata olayları ekledik. Aşağıdaki tablolara bakın. Sistem, bir DCOM istemci uygulamasının RPC_C_AUTHN_LEVEL_PKT_INTEGRITY'den küçük bir kimlik doğrulama düzeyi kullanarak DCOM sunucusunu etkinleştirmeye çalıştığını algılarsa bu olayları günlüğe kaydeder. Sunucu tarafı olay günlüğünden istemci cihazına izleyebilir ve uygulamayı bulmak için istemci tarafı olay günlüklerini kullanabilirsiniz.
Sunucu Olayları - Sunucunun alt düzey istekler aldığını belirtme
Olay Kimliği |
İleti |
---|---|
10036 |
"Sunucu tarafı kimlik doğrulama düzeyi ilkesi, %4 adresinden %1\%2 SID (%3) kullanıcısının DCOM sunucusunu etkinleştirmesine izin vermiyor. Lütfen etkinleştirme kimlik doğrulama düzeyini en azından istemci uygulamasında RPC_C_AUTHN_LEVEL_PKT_INTEGRITY yükseltin." (%1 – etki alanı, %2 – kullanıcı adı, %3 – Kullanıcı SID, %4 – İstemci IP Adresi) |
İstemci Olayları – Hangi uygulamanın alt düzey istekler gönderdiğini belirtin
Olay Kimliği |
İleti |
---|---|
10037 |
"PID %2 ile %1 uygulaması, %4 bilgisayarında %5 kimlik doğrulama düzeyini açıkça ayarlamış %3 CLSID'yi etkinleştirmeyi talep ediyor. DCOM için gereken en düşük etkinleştirme kimlik doğrulama düzeyi 5'tir (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Etkinleştirme kimlik doğrulama düzeyini yükseltmek için lütfen uygulama satıcısına başvurun." |
10038 |
"PID %2 ile %1 uygulaması, %5 konumunda varsayılan etkinleştirme kimlik doğrulaması düzeyine sahip %4 bilgisayarında %3 CLSID'sini etkinleştirmeyi talep ediyor. DCOM için gereken en düşük etkinleştirme kimlik doğrulama düzeyi 5'tir (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Etkinleştirme kimlik doğrulama düzeyini yükseltmek için lütfen uygulama satıcısına başvurun." (%1 – Uygulama Yolu, %2 – Uygulama PID'si, %3 – uygulamanın etkinleştirmek istediği COM sınıfının CLSID'si, %4 – Bilgisayar Adı, %5 – Kimlik Doğrulama Düzeyi Değeri) |
Kullanılabilirlik
Bu hata olayları yalnızca Windows sürümlerinin bir alt kümesi için kullanılabilir; aşağıdaki tabloya bakın.
Windows sürümü |
Bu tarihlerde veya sonrasında kullanılabilir |
---|---|
Windows Server 2022 |
27 Eylül 2021, Cumartesi |
Windows 10, sürüm 2004, Windows 10, sürüm 20H2, Windows 10, sürüm 21H1 |
1 Eylül 2021, Cumartesi |
Windows 10, sürüm 1909 |
26 Ağustos 2021, Ağustos 2021, Ağustos 2021, Ağustos 2021, Ağustos |
Windows Server 2019, Windows 10, sürüm 1809 |
26 Ağustos 2021, Ağustos 2021, Ağustos 2021, Ağustos 2021, Ağustos |
Windows Server 2016, Windows 10, sürüm 1607 |
14 Eylül 2021 |
R2 ve Windows 8.1 Windows Server 2012 |
12 Ekim 2021 |
Windows 11, sürüm 22H2 |
30 Eylül 2022, Cumartesi |
İstemci tarafı istek otomatik yükseltme düzeltme eki
Anonim olmayan tüm etkinleştirme istekleri için kimlik doğrulama düzeyi
Uygulama uyumluluğu sorunlarını azaltmaya yardımcı olmak için, Windows tabanlı DCOM istemcilerinden gelen anonim olmayan tüm etkinleştirme isteklerinin kimlik doğrulama düzeyini otomatik olarak en az RPC_C_AUTHN_LEVEL_PKT_INTEGRITY yükselttik. Bu değişiklikle, Windows tabanlı DCOM istemci isteklerinin çoğu, DCOM istemcisinde başka değişiklik yapılmadan sunucu tarafında etkinleştirilmiş DCOM sağlamlaştırma değişiklikleriyle otomatik olarak kabul edilir. Ayrıca, çoğu Windows DCOM istemcisi, DCOM istemcisinde başka değişiklik yapmadan sunucu tarafında DCOM sağlamlaştırma değişiklikleriyle otomatik olarak çalışır.
Not Bu düzeltme eki toplu güncelleştirmelere dahil edilmeye devam edecektir.
Düzeltme eki güncelleştirme zaman çizelgesi
Kasım 2022'deki ilk sürümden bu yana, otomatik yükseltme düzeltme eki birkaç güncelleştirme yaptı.
-
Kasım 2022 güncelleştirmesi
-
Bu güncelleştirme, etkinleştirme kimlik doğrulama düzeyini otomatik olarak paket bütünlüğüne yükseltti. Bu değişiklik, Windows Server 2016 ve Windows Server 2019'da varsayılan olarak devre dışı bırakılmıştır.
-
-
Aralık 2022 güncelleştirmesi
-
Kasım değişikliği, Windows Server 2016 ve Windows Server 2019 için varsayılan olarak etkinleştirilmiştir.
-
Bu güncelleştirme, Windows Server 2016 ve Windows Server 2019'da anonim etkinleştirmeyi etkileyen bir sorunu da gidermiştir.
-
-
Ocak 2023 güncelleştirmesi
-
Bu güncelleştirme, Windows Server 2008'den Windows 10 'a (Temmuz 2015'te yayımlanan ilk sürüm) platformlarda anonim etkinleştirmeyi etkileyen bir sorunu gidermiştir.
-
İstemcilerinize ve sunucularınıza Ocak 2023 itibarıyla toplu güvenlik güncelleştirmelerini yüklediyseniz, en son otomatik yükseltme düzeltme eki tam olarak etkinleştirilir.
Sağlamlaştırma değişikliklerini etkinleştirmek veya devre dışı bırakmak için kayıt defteri ayarı
CVE-2021-26414 için sağlamlaştırma değişikliklerini etkinleştirebileceğiniz veya devre dışı bırakabileceğiniz zaman çizelgesi aşamaları sırasında aşağıdaki kayıt defteri anahtarını kullanabilirsiniz:
-
Yol: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Değer Adı: "RequireIntegrityActivationAuthenticationLevel"
-
Tür: dword
-
Değer Verileri: default= 0x00000000 devre dışı anlamına gelir. 0x00000001 etkin anlamına gelir. Bu değer tanımlanmamışsa, varsayılan olarak etkin olur.
Not Değer Verileri'ne onaltılık biçimde girmeniz gerekir.
Önemli Etkili olması için bu kayıt defteri anahtarını ayarladıktan sonra cihazınızı yeniden başlatmanız gerekir.
Not Yukarıdaki kayıt defteri anahtarının etkinleştirilmesi, DCOM sunucularının etkinleştirme için RPC_C_AUTHN_LEVEL_PKT_INTEGRITY veya daha yüksek bir Authentication-Level zorlamasını sağlar. Bu, anonim etkinleştirmeyi etkilemez (kimlik doğrulama düzeyi RPC_C_AUTHN_LEVEL_NONE kullanılarak etkinleştirme). DCOM sunucusu anonim etkinleştirmeye izin veriyorsa, DCOM sağlamlaştırma değişiklikleri etkinleştirildiğinde bile buna izin verilir.
Not Bu kayıt defteri değeri varsayılan olarak yoktur; oluşturmanız gerekir. Windows varsa okur ve üzerine yazılmaz.
Not Sonraki güncelleştirmelerin yüklenmesi, mevcut kayıt defteri girdilerini ve ayarlarını değiştirmez veya kaldırmaz.