Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

ОНОВЛЕНО 20 березня 2023 р. - Розділ про доступність

Зведення

Віддалений протокол моделі розподілених об'єктів компонента (DCOM) – це протокол для викриття об'єктів програми за допомогою віддалених викликів процедур (RPC). DCOM використовується для зв'язку між програмними компонентами мережевих пристроїв. Для CVE-2021-26414 потрібні зміни в DCOM. Тому ми радимо перевірити, чи працюють у вашому середовищі клієнтські або серверні програми, які використовують DCOM або RPC належним чином, з увімкненими змінами.

Нотатка Радимо інсталювати останнє доступне оновлення системи безпеки. Вони забезпечують розширений захист від останніх загроз безпеці. Вони також надають можливості, які ми додали для підтримки міграції. Докладні відомості та контекст про те, як ми загартуємо DCOM, див. в статті Загартування автентифікації DCOM: що потрібно знати.

Перший етап оновлень DCOM було випущено 8 червня 2021 року. У цьому оновленні за замовчуванням вимкнуто апаратне забезпечення DCOM. Ви можете ввімкнути їх, змінивши реєстр, як описано в розділі "Параметр реєстру для ввімкнення або вимкнення затягання змін" нижче. Другий етап оновлень DCOM було випущено 14 червня 2022 року. Це змінило апаратне забезпечення на увімкнене за замовчуванням, але зберегло можливість вимкнути зміни за допомогою параметрів розділу реєстру. Останній етап оновлень DCOM буде випущено в березні 2023 року. Це дозволить увімкнути апаратне забезпечення DCOM і видалити можливість його вимкнення.

Часова шкала

Оновлення випуску

Зміна поведінки

8 червня 2021 р.

Етап 1. Зміни за замовчуванням вимкнуто, але з можливістю активувати їх за допомогою розділу реєстру.

14 червня 2022 р.

Етап 2 Release – за замовчуванням увімкнуто апаратне забезпечення змін, але з можливістю вимкнути їх за допомогою розділу реєстру.

14 березня 2023 р.

Фаза 3 Release – за замовчуванням увімкнуто зміни, які за замовчуванням увімкнуто без можливості їх вимкнення. До цього моменту потрібно вирішити будь-які проблеми сумісності зі змінами та програмами, пов'язані з загартуванням у вашому середовищі.

Перевірка сумісності з апаратним забезпеченням DCOM

Нові події помилок DCOM

Щоб допомогти визначити програми, які можуть мати проблеми сумісності після того, як ми ввімкнули зміни посилення безпеки DCOM, ми додали нові події помилок DCOM в системному журналі. Перегляньте таблиці нижче. Система реєструє ці події, якщо виявить, що DCOM клієнтський застосунок намагається активувати DCOM-сервер, використовуючи рівень автентифікації, менший за RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Ви можете трасувати до клієнтського пристрою з журналу подій на сервері та використовувати журнали подій на боці клієнта, щоб знайти застосунок.

Серверні події – Указує, що сервер отримує запити нижчого рівня

Ідентифікатор події

Повідомлення

10036

"Політика на рівні автентифікації на сервері не дозволяє користувачу %1\%2 SID (%3) з адреси %4 активувати сервер DCOM. Підніміть принаймні рівень автентифікації активації, щоб RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клієнтській програмі".

(%1 – домен, %2 – ім'я користувача, %3 – ІДЕНТИФІКАТОР КОРИСТУВАЧА, %4 – IP-адреса клієнта)

Client Events – указує, яка програма надсилає запити нижчого рівня

Ідентифікатор події

Повідомлення

10037

"Застосунок %1 з PID %2 запитує активацію CLSID %3 на комп'ютері %4 з явно встановленим рівнем автентифікації в %5. Найнижчий рівень автентифікації для активації, необхідний DCOM, – 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Щоб підвищити рівень автентифікації активації, зверніться до постачальника програми".

10038

"Застосунок %1 з PID %2 запитує активацію CLSID %3 на комп'ютері %4 з рівнем автентифікації за промовчанням у %5. Найнижчий рівень автентифікації для активації, необхідний DCOM, – 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Щоб підвищити рівень автентифікації активації, зверніться до постачальника програми".

(%1 – шлях застосунку, %2 – PID застосунку, %3 – CLSID класу COM, який програма запитує на активацію, %4 – ім'я комп'ютера, %5 – значення рівня автентифікації)

Наявність

Ці події помилок доступні лише для підмножини версій Windows; див. таблицю нижче.

Версія Windows

Доступно в ці дати або пізніше

Windows Server 2022

27 вересня 2021 р.

KB5005619

Windows 10 версії 2004, Windows 10 версії 20H2, Windows 10 версії 21H1

1 вересня 2021 р.

KB5005101

Windows 10 версії 1909

26 серпня 2021 р.

KB5005103

Windows Server 2019, Windows 10 версії 1809

26 серпня 2021 р.

KB5005102

Windows Server 2016, Windows 10 версії 1607

Вересень 14, 2021 р.

KB5005573

Windows Server 2012 R2 та Windows 8.1

12 жовтня 2021 р.

KB5006714

Windows 11 версії 22H2

30 вересня 2022 р.

KB5017389

Виправлення автоматичного підвищення запитів на боці клієнта

Рівень автентифікації для всіх не анонімних запитів на активацію

Щоб зменшити проблеми сумісності програм, ми автоматично підвищили рівень автентифікації для всіх неанонімні запити на активацію від клієнтів DCOM на основі Windows, щоб RPC_C_AUTHN_LEVEL_PKT_INTEGRITY принаймні. У цій зміні більшість клієнтських запитів DCOM на основі Windows буде автоматично прийнято з DCOM апаратні зміни ввімкнуто на стороні сервера без будь-яких подальших змін до DCOM клієнта. Крім того, більшість клієнтів Windows DCOM буде автоматично працювати з DCOM заготовки зміни на стороні сервера без будь-яких подальшого змінення DCOM клієнта.

Нотатка Це виправлення й надалі буде включено до сукупного пакета оновлень.

Часова шкала оновлення виправлень

З моменту початкового випуску в листопаді 2022 року, автоматичне підвищення патч було кілька оновлень.

  • Оновлення за листопад 2022 р.

    • Це оновлення автоматично підвищило рівень автентифікації активації до цілісності пакетів. Цю зміну вимкнуто за замовчуванням у Windows Server 2016 і Windows Server 2019.

  • Оновлення за грудень 2022 р.

    • Зміни за листопад увімкнуто за замовчуванням для Windows Server 2016 і Windows Server 2019.

    • Це оновлення також усунуто проблему, яка стосувалась анонімної активації у Windows Server 2016 і Windows Server 2019.

  • Оновлення за січень 2023 р.

    • У цьому оновленні вирішено проблему, яка стосувалась анонімної активації на платформах із Windows Server 2008 до Windows 10 (початкова версія, випущена в липні 2015 р.).

Якщо ви інсталювали сукупні оновлення системи безпеки станом на січень 2023 року на своїх клієнтах і серверах, у них буде повністю активовано останнє автоматичне подовження виправлень.

Параметр реєстру, який дає змогу вмикати або вимикати зміни, що затягають

На етапах часової шкали, у яких можна вмикати або вимикати зміни затягання для CVE-2021-26414, можна використовувати такий розділ реєстру:

  • Шлях: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Ім'я значення: "RequireIntegrityActivationAuthenticationLevel"

  • Тип: dword

  • Дані значення: default= 0x00000000 означає вимкнуто. 0x00000001 означає увімкнуто. Якщо це значення не визначено, його буде ввімкнуто за замовчуванням.

Примітка Значення слід вводити в шістнадцятковому форматі.

Увага! Після настроювання цього розділу реєстру необхідно перезавантажити пристрій, щоб він набула сили.

Нотатка Якщо ввімкнути розділ реєстру вище, сервери DCOM примусово застосують Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY або новішої версії для активації. Це не впливає на анонімну активацію (активація за допомогою рівня автентифікації RPC_C_AUTHN_LEVEL_NONE). Якщо DCOM-сервер дозволяє анонімну активацію, його все одно можна буде дозволити навіть після ввімкнення тверджень DCOM.

Нотатка Це значення реєстру не існує за промовчанням; ви повинні створити його. Windows прочитає її, якщо вона існує, і не перезапише її.

Нотатка Інсталяція пізніших оновлень не змінюватиме та не видалятиме наявні записи та настройки реєстру.

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.