Özet

13 Temmuz 2021 Windows güncelleştirmeleri ve daha sonraki güncelleştirmeler, WINDOWS-2021-33757 için EK korumalar ekler.

13 Temmuz 2021 Windows güncelleştirmelerini veya sonraki Windows güncelleştirmelerini yükledikten sonra, SAM sunucusu tarafından AES şifrelemesi desteklenirse, parola işlemleri için eski MS-SAMR protokolü kullanılırken Windows istemcilerde tercih edilen yöntem Gelişmiş Şifreleme Standardı (AES) şifrelemesi olur. SAM sunucusu AES şifrelemesi desteklenmiyorsa, eski RC4 şifrelemesine geri dönüşe izin verilir.

THE-20201-33757'daki değişiklikler MS-SAMR protokolüne özgüdür ve diğer kimlik doğrulama protokollarından bağımsızdır. MS-SAMR, RPC üzerinden SMB ve adlandırılmış kanallar kullanır. SMB şifrelemeyi de destekliyor olsa da, varsayılan olarak etkin değildir. Varsayılan olarak, YERMİ-20201-33757'de yapılan değişiklikler etkinleştirilir ve SAM katmanında ek güvenlik sağlar. 13 Temmuz 2021 güncelleştirmelerine ve desteklenen tüm WINDOWS güncelleştirmelerine dahil edilen VELI-2 Windows 0201-33757 için korumaları yükleme dışında başka yapılandırma değişikliği Windows. Güncelleştirmelerin desteklenmeyen sürümleri Windows devam ettiril olmalı veya desteklenen bir sürüme yükseltilmelidir.

NOT THE-2021-33757 yalnızca, MS-SAMR protokolünün belirli API'lerini kullanırken parolaların iletili olarak nasıl şifrelenmeleri ile ilgili değişiklik yapar ve özel olarak parolaların depolandığı yerde DEĞIŞIKLIK YAPMAZ. Active Directory'de ve yerel olarak SAM Veritabanında (kayıt defterinde) depolanan parolaların nasıl şifrelenmeleri hakkında daha fazla bilgi için bkz. Parolalara Genel Bakış.

Daha fazla bilgi  

Var olan SamrConnect5 yöntemi normalde SAM istemcisiyle sunucusu arasında bağlantı kurmak için kullanılır.

Güncelleştirilmiş bir sunucu şimdi, kimlik bilgisinde tanımlandığı gibi SamrConnect5() yanıtına yeni bir SAMPR_REVISION_INFO_V1. 

Değer

Anlamı

0x00000010

İstemci tarafından alındı bilgisi geldiğinde, bu değer ayarlanırken istemcinin kablo üzerinden gönderilen parola arabelleğerlerini şifrelemek için SAMPR_ENCRYPTED_PASSWORD_AES yapısıyla AES Şifrelemesi kullanması gerektiğini belirtir. Bkz. AES Şifreleme Kullanımı (bölüm 3.2.2.4) SAMPR_ENCRYPTED_PASSWORD_AES (bölüm 2.2.6.32).

Güncelleştirilmiş sunucu AES'i destekliyorsa, istemci parola işlemleri için yeni yöntemler ve yeni bilgi sınıfları kullanır. Sunucu bu bayrağı geri getirmüyorsa veya istemci güncelleştirilmezse, istemci RC4 şifrelemesi ile önceki yöntemleri kullanmaya geri döner.

Parola Kümesi işlemleri yazılabilir bir etki alanı denetleyicisi (RWDC) gerektirir. Parola değişiklikleri, Salt Okunur Etki Alanı Denetleyicisi (DC) tarafından bir RWDC'ye iletmektedir. AES'nin kullan olması için tüm cihazların güncelleştirilmiş olması gerekir. Örneğin:

  • İstemci, DESMİ veya RWDC güncelleştirilmezse RC4 şifrelemesi kullanılır.

  • İstemci, AYRıCALIC ve RWDC güncelleştirildiğinde AES şifrelemesi kullanılır.

13 Temmuz 2021 güncelleştirmeleri, güncelleştirilmiş cihazların belirlenmesine ve güvenliğin iyileştirilmesine yardımcı olmak için sistem günlüğüne dört yeni olay ekler.

  • Yapılandırma durumu Olay Kimliği 16982 veya 16983, başlatma sırasında veya bir kayıt defteri yapılandırma değişikliği üzerine oturum açmış.Olay Kimliği 16982

    Olay günlüğü

    Sistem

    Olay kaynağı

    Directory-Services-SAM

    Olay Kimliği

    16982

    Düzey

    Bilgi

    Olay iletisi metni

    Güvenlik hesabı yöneticisi artık eski parola değişikliğini çağıran veya RPC yöntemlerini ayaran uzak istemciler için ayrıntılı olayları günlüğe kaydetmeye başladı. Bu ayar çok fazla sayıda iletiye neden olabilir ve sorunları tanılamak için yalnızca kısa bir süre boyunca kullanılmalıdır.

    Olay Kimliği 16983

    Olay günlüğü

    Sistem

    Olay kaynağı

    Directory-Services-SAM

    Olay Kimliği

    16983

    Düzey

    Bilgi

    Olay iletisi metni

    Güvenlik hesabı yöneticisi artık eski parola değişikliğini çağıran veya RPC yöntemlerini çağıran uzak istemciler için düzenli aralıklarla özet olayları günlüğe kaydetmeye başladı.

  • 13 Temmuz 2021 güncelleştirmesini uygulamaya başladıktan sonra, her 60 dakikada bir System olay günlüğüne bir Özet Olayı 16984 günlüğe kaydedilir.Olay Kimliği 16984

    Olay günlüğü

    Sistem

    Olay kaynağı

    Directory-Services-SAM

    Olay Kimliği

    16984

    Düzey

    Bilgi

    Olay iletisi metni

    Güvenlik hesap yöneticisi son 60 dakika içinde %x'in eski parola değişikliğini algıladı veya RPC yöntemi aramaları ayarladı.

  • Ayrıntılı olay günlüğünü yapılandırdikten sonra, hesap parolasını değiştirmek veya ayarlamak için eski bir RPC yöntemi her kullan etkinliğinde System olay günlüğüne Olay Kimliği 16985 günlüğe kaydedilir.Olay Kimliği 16985

    Olay günlüğü

    Sistem

    Olay kaynağı

    Directory-Services-SAM

    Olay Kimliği

    16985

    Düzey

    Bilgi

    Olay iletisi metni

    Güvenlik hesabı yöneticisi, ağ istemcisinde eski bir değişikliğin kullanımını algıladı veya RPC yöntemini ayarladı. Bu yöntemin en son ve daha güvenli sürümünü kullanmak için istemci işletim sistemini veya uygulamasını yükseltmeyi göz önünde bulundurabilirsiniz.

    Ayrıntılar:

    RPC Yöntemi: %1

    İstemci Ağı Adresi: %2

    İstemci SID: %3

    Kullanıcı adı: %4 

    Ayrıntılı Olay Kimliği 16985 günlüğe kayıt etmek için, sunucu veya etki alanı denetleyicisinde aşağıdaki kayıt defteri değerini değiştirebilirsiniz.

    Yol

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Tür

    REG_DWORD

    Değer adı

    AuditLegacyPasswordRpcMethods

    Value data

     1 = ayrıntılı günlük etkinleştirildi

     0 veya yok = ayrıntılı günlük devre dışı bırakılır. Yalnızca özet olayları. (Varsayılan)

Yeni SamrUnicodeChangePasswordUser4 (Opnum 73) içinde açıklandığı gibi, yeni SamrUnicodeChangePasswordUser4 yöntemini kullanırsanız, istemci ve sunucu düz metin eski paroladan bir şifreleme ve şifre çözme anahtarı türetmek için PBKDF2 Algoritması'nı kullanır. Bunun nedeni, eski parolanın hem sunucu hem de istemci için bilinen tek ortak paroladır.  

PBKDF2 hakkında daha fazla bilgi için bkz. BCryptDeriveKeyPBKDF2 işlevi (bcrypt.h).

Performans ve güvenlik nedenleriyle değişiklik yapmak gerekirse, istemcide parola değişikliği için istemci tarafından kullanılan PBKDF2 yineleme sayısını ayarlamak için istemcide aşağıdaki kayıt defteri değerini ayarlayabilirsiniz.

Not: PBKDF2 yinelemelerinin sayısını azaltmak güvenliği azaltacak.  Bu say ın varsayılan değerden azaltması önerilmez. Bununla birlikte, mümkün olan en yüksek PBKDF2 yineleme sayısını öneririz.

Yol 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Tür 

REG_DWORD 

Değer adı 

PBKDF2 Ölçütler 

Value data 

En az 5.000 ile en fazla 1.000.000

Varsayılan değer 

10,000  

Not: PbKDF2, parola kümesi işlemleri için kullanılamaz. Parola kümesi işlemleri için SMB oturum anahtarı, istemci ile sunucu arasında paylaşılan bir paroladır ve şifreleme anahtarlarının türetkisi için temel olarak kullanılır. 

Daha fazla bilgi için bkz. SMB Oturum Anahtarı almak.

Sık Sorulan Sorular (SSS)

Düşürme işlemi, sunucu veya istemci AES'i desteklemezse gerçekleşir.   

RC4'ün olduğu eski yöntemler kullanılırken güncelleştirilmiş sunucular günlük olaylarını günlüğe kaydedilir. 

Şu anda kullanılabilir zorlama modu yoktur, ancak gelecekte de olabilir. Henüz bir tarihimiz yok. 

Üçüncü taraf bir cihaz SAMR protokolünü kullan forma sahipse, bu önemli değildir. MS-SAMR protokolünü uygulayan üçüncü taraf satıcılar bunu uygulamayı seçebilir. Sorularınız için üçüncü taraf satıcısına başvurun. 

Ek değişiklik gerekli değildir.  

Bu protokol eskidir ve kullanımının çok düşük olduğunu tahmin ediyoruz. Eski uygulamalar bu API'leri kullanabilir. Ayrıca, AD Kullanıcıları ve Bilgisayarlar MMC gibi bazı Active Directory araçları SAMR kullanır.

Hayır. Yalnızca bu belirli SAMR API'lerini kullanan parola değişiklikleri etkilenir.

Evet. PBKDF2 RC4'den daha pahalıdır. SamrUnicodeChangePasswordUser4 API'si çağıran etki alanı denetleyicisinde aynı anda birçok parola değişikliği yaşanıyorsa, LSASS'nin CPU yükü etkilenebilir. Gerekirse istemcilerde PBKDF2 yinelemelerini değiştirebilirsiniz, ancak bunun güvenliği düşürecek şekilde varsayılandan azaltmayı önerilmez.  

Başvurular

AES-CBC ve HMAC-SHA ile Kimliği Doğrulanmış Şifreleme

AES Şifreleme Kullanımı

Üçüncü taraf bilgileri ile ilgili uyarı

Teknik destek bulamanıza yardımcı olmak için üçüncü taraf iletişim bilgilerini sağlaruz. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgisinin doğruluğu garanti edilemez.

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.