Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

GÜNCEL -LEŞTİRİLMİŞ 20 Mart 2023 - Kullanılabilirlik bölümü

Özet

Dağıtılmış Bileşen Nesne Modeli (DCOM) Uzak Protokolü, uzak yordam çağrıları (RPC) kullanarak uygulama nesnelerini kullanıma sunma protokolüdür. DCOM, ağa bağlı cihazların yazılım bileşenleri arasındaki iletişim için kullanılır. CVE-2021-26414 için DCOM'da sağlamlaştırma değişiklikleri gerekiyordu. Bu nedenle, ortamınızda DCOM veya RPC kullanan istemci veya sunucu uygulamalarının sağlamlaştırma değişiklikleri etkinken beklendiği gibi çalışıp çalışmadığını doğrulamanızı öneririz.

Not Kullanılabilir en son güvenlik güncelleştirmesini yüklemenizi kesinlikle öneririz. En son güvenlik tehditlerine karşı gelişmiş koruma sağlar. Ayrıca geçişi desteklemek için eklediğimiz özellikleri de sağlar. DCOM'u nasıl sağlamlaştırdığımız hakkında daha fazla bilgi ve bağlam için bkz. DCOM kimlik doğrulamasını sağlamlaştırma: bilmeniz gerekenler.

DCOM güncelleştirmelerinin ilk aşaması 8 Haziran 2021'de yayımlandı. Bu güncelleştirmede DCOM sağlamlaştırması varsayılan olarak devre dışı bırakıldı. Aşağıdaki "Sağlamlaştırma değişikliklerini etkinleştirmek veya devre dışı bırakmak için kayıt defteri ayarı" bölümünde açıklandığı gibi kayıt defterini değiştirerek bunları etkinleştirebilirsiniz. DCOM güncelleştirmelerinin ikinci aşaması 14 Haziran 2022'de yayımlandı. Bu, sağlamlaştırmayı varsayılan olarak etkin olarak değiştirdi ancak kayıt defteri anahtarı ayarlarını kullanarak değişiklikleri devre dışı bırakma özelliğini korudu. DCOM güncelleştirmelerinin son aşaması Mart 2023'te yayımlanacaktır. DCOM sağlamlaştırmasını etkin tutar ve devre dışı bırakma özelliğini kaldırır.

Zaman Çizelgesi

Güncelleştirme sürümü

Davranış değişikliği

8 Haziran 2021, Ağustos 2021, Saat 20:00

1. Aşama Sürüm - Değişiklikleri sağlamlaştırma varsayılan olarak devre dışıdır ancak bunları kayıt defteri anahtarı kullanarak etkinleştirme özelliğiyle devre dışı bırakır.

14 Haziran 2022, Ağustos 2022, Temmuz 2022, Temmuz 2022, Temmuz

2. Aşama Sürüm - Değişiklikleri varsayılan olarak etkin ancak kayıt defteri anahtarı kullanarak devre dışı bırakma özelliğiyle sağlamlaştırma.

14 Mart 2023, İstanbul

3. Aşama Sürümü - Değişiklikleri devre dışı bırakma özelliği olmadan varsayılan olarak etkin hale getirmek. Bu noktaya kadar, ortamınızdaki sağlamlaştırma değişiklikleri ve uygulamalarıyla ilgili uyumluluk sorunlarını çözmeniz gerekir.

DCOM sağlamlaştırma uyumluluğunu test etme

Yeni DCOM Hata Olayları

DCOM güvenlik sağlamlaştırma değişikliklerini etkinleştirdikten sonra uyumluluk sorunlarıyla karşılaşabilecek uygulamaları belirlemenize yardımcı olmak için Sistem günlüğüne yeni DCOM hata olayları ekledik. Aşağıdaki tablolara bakın. Sistem, bir DCOM istemci uygulamasının RPC_C_AUTHN_LEVEL_PKT_INTEGRITY'den küçük bir kimlik doğrulama düzeyi kullanarak DCOM sunucusunu etkinleştirmeye çalıştığını algılarsa bu olayları günlüğe kaydeder. Sunucu tarafı olay günlüğünden istemci cihazına izleyebilir ve uygulamayı bulmak için istemci tarafı olay günlüklerini kullanabilirsiniz.

Sunucu Olayları - Sunucunun alt düzey istekler aldığını belirtme

Olay Kimliği

İleti

10036

"Sunucu tarafı kimlik doğrulama düzeyi ilkesi, %4 adresinden %1\%2 SID (%3) kullanıcısının DCOM sunucusunu etkinleştirmesine izin vermiyor. Lütfen etkinleştirme kimlik doğrulama düzeyini en azından istemci uygulamasında RPC_C_AUTHN_LEVEL_PKT_INTEGRITY yükseltin."

(%1 – etki alanı, %2 – kullanıcı adı, %3 – Kullanıcı SID, %4 – İstemci IP Adresi)

İstemci Olayları – Hangi uygulamanın alt düzey istekler gönderdiğini belirtin

Olay Kimliği

İleti

10037

"PID %2 ile %1 uygulaması, %4 bilgisayarında %5 kimlik doğrulama düzeyini açıkça ayarlamış %3 CLSID'yi etkinleştirmeyi talep ediyor. DCOM için gereken en düşük etkinleştirme kimlik doğrulama düzeyi 5'tir (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Etkinleştirme kimlik doğrulama düzeyini yükseltmek için lütfen uygulama satıcısına başvurun."

10038

"PID %2 ile %1 uygulaması, %5 konumunda varsayılan etkinleştirme kimlik doğrulaması düzeyine sahip %4 bilgisayarında %3 CLSID'sini etkinleştirmeyi talep ediyor. DCOM için gereken en düşük etkinleştirme kimlik doğrulama düzeyi 5'tir (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Etkinleştirme kimlik doğrulama düzeyini yükseltmek için lütfen uygulama satıcısına başvurun."

(%1 – Uygulama Yolu, %2 – Uygulama PID'si, %3 – uygulamanın etkinleştirmek istediği COM sınıfının CLSID'si, %4 – Bilgisayar Adı, %5 – Kimlik Doğrulama Düzeyi Değeri)

Kullanılabilirlik

Bu hata olayları yalnızca Windows sürümlerinin bir alt kümesi için kullanılabilir; aşağıdaki tabloya bakın.

Windows sürümü

Bu tarihlerde veya sonrasında kullanılabilir

Windows Server 2022

27 Eylül 2021, Cumartesi

KB5005619

Windows 10, sürüm 2004, Windows 10, sürüm 20H2, Windows 10, sürüm 21H1

1 Eylül 2021, Cumartesi

KB5005101

Windows 10, sürüm 1909

26 Ağustos 2021, Ağustos 2021, Ağustos 2021, Ağustos 2021, Ağustos

KB5005103

Windows Server 2019, Windows 10, sürüm 1809

26 Ağustos 2021, Ağustos 2021, Ağustos 2021, Ağustos 2021, Ağustos

KB5005102

Windows Server 2016, Windows 10, sürüm 1607

14 Eylül 2021

KB5005573

R2 ve Windows 8.1 Windows Server 2012

12 Ekim 2021

KB5006714

Windows 11, sürüm 22H2

30 Eylül 2022, Cumartesi

KB5017389

İstemci tarafı istek otomatik yükseltme düzeltme eki

Anonim olmayan tüm etkinleştirme istekleri için kimlik doğrulama düzeyi

Uygulama uyumluluğu sorunlarını azaltmaya yardımcı olmak için, Windows tabanlı DCOM istemcilerinden gelen anonim olmayan tüm etkinleştirme isteklerinin kimlik doğrulama düzeyini otomatik olarak en az RPC_C_AUTHN_LEVEL_PKT_INTEGRITY yükselttik. Bu değişiklikle, Windows tabanlı DCOM istemci isteklerinin çoğu, DCOM istemcisinde başka değişiklik yapılmadan sunucu tarafında etkinleştirilmiş DCOM sağlamlaştırma değişiklikleriyle otomatik olarak kabul edilir. Ayrıca, çoğu Windows DCOM istemcisi, DCOM istemcisinde başka değişiklik yapmadan sunucu tarafında DCOM sağlamlaştırma değişiklikleriyle otomatik olarak çalışır.

Not Bu düzeltme eki toplu güncelleştirmelere dahil edilmeye devam edecektir.

Düzeltme eki güncelleştirme zaman çizelgesi

Kasım 2022'deki ilk sürümden bu yana, otomatik yükseltme düzeltme eki birkaç güncelleştirme yaptı.

  • Kasım 2022 güncelleştirmesi

    • Bu güncelleştirme, etkinleştirme kimlik doğrulama düzeyini otomatik olarak paket bütünlüğüne yükseltti. Bu değişiklik, Windows Server 2016 ve Windows Server 2019'da varsayılan olarak devre dışı bırakılmıştır.

  • Aralık 2022 güncelleştirmesi

    • Kasım değişikliği, Windows Server 2016 ve Windows Server 2019 için varsayılan olarak etkinleştirilmiştir.

    • Bu güncelleştirme, Windows Server 2016 ve Windows Server 2019'da anonim etkinleştirmeyi etkileyen bir sorunu da gidermiştir.

  • Ocak 2023 güncelleştirmesi

    • Bu güncelleştirme, Windows Server 2008'den Windows 10 'a (Temmuz 2015'te yayımlanan ilk sürüm) platformlarda anonim etkinleştirmeyi etkileyen bir sorunu gidermiştir.

İstemcilerinize ve sunucularınıza Ocak 2023 itibarıyla toplu güvenlik güncelleştirmelerini yüklediyseniz, en son otomatik yükseltme düzeltme eki tam olarak etkinleştirilir.

Sağlamlaştırma değişikliklerini etkinleştirmek veya devre dışı bırakmak için kayıt defteri ayarı

CVE-2021-26414 için sağlamlaştırma değişikliklerini etkinleştirebileceğiniz veya devre dışı bırakabileceğiniz zaman çizelgesi aşamaları sırasında aşağıdaki kayıt defteri anahtarını kullanabilirsiniz:

  • Yol: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Değer Adı: "RequireIntegrityActivationAuthenticationLevel"

  • Tür: dword

  • Değer Verileri: default= 0x00000000 devre dışı anlamına gelir. 0x00000001 etkin anlamına gelir. Bu değer tanımlanmamışsa, varsayılan olarak etkin olur.

Not Değer Verileri'ne onaltılık biçimde girmeniz gerekir.

Önemli Etkili olması için bu kayıt defteri anahtarını ayarladıktan sonra cihazınızı yeniden başlatmanız gerekir.

Not Yukarıdaki kayıt defteri anahtarının etkinleştirilmesi, DCOM sunucularının etkinleştirme için RPC_C_AUTHN_LEVEL_PKT_INTEGRITY veya daha yüksek bir Authentication-Level zorlamasını sağlar. Bu, anonim etkinleştirmeyi etkilemez (kimlik doğrulama düzeyi RPC_C_AUTHN_LEVEL_NONE kullanılarak etkinleştirme). DCOM sunucusu anonim etkinleştirmeye izin veriyorsa, DCOM sağlamlaştırma değişiklikleri etkinleştirildiğinde bile buna izin verilir.

Not Bu kayıt defteri değeri varsayılan olarak yoktur; oluşturmanız gerekir. Windows varsa okur ve üzerine yazılmaz.

Not Sonraki güncelleştirmelerin yüklenmesi, mevcut kayıt defteri girdilerini ve ayarlarını değiştirmez veya kaldırmaz.

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.