ОНОВЛЕНО 20 березня 2023 р. - Розділ про доступність
Зведення
Віддалений протокол моделі розподілених об'єктів компонента (DCOM) – це протокол для викриття об'єктів програми за допомогою віддалених викликів процедур (RPC). DCOM використовується для зв'язку між програмними компонентами мережевих пристроїв. Для CVE-2021-26414 потрібні зміни в DCOM. Тому ми радимо перевірити, чи працюють у вашому середовищі клієнтські або серверні програми, які використовують DCOM або RPC належним чином, з увімкненими змінами.
Нотатка Радимо інсталювати останнє доступне оновлення системи безпеки. Вони забезпечують розширений захист від останніх загроз безпеці. Вони також надають можливості, які ми додали для підтримки міграції. Докладні відомості та контекст про те, як ми загартуємо DCOM, див. в статті Загартування автентифікації DCOM: що потрібно знати.
Перший етап оновлень DCOM було випущено 8 червня 2021 року. У цьому оновленні за замовчуванням вимкнуто апаратне забезпечення DCOM. Ви можете ввімкнути їх, змінивши реєстр, як описано в розділі "Параметр реєстру для ввімкнення або вимкнення затягання змін" нижче. Другий етап оновлень DCOM було випущено 14 червня 2022 року. Це змінило апаратне забезпечення на увімкнене за замовчуванням, але зберегло можливість вимкнути зміни за допомогою параметрів розділу реєстру. Останній етап оновлень DCOM буде випущено в березні 2023 року. Це дозволить увімкнути апаратне забезпечення DCOM і видалити можливість його вимкнення.
Часова шкала
Оновлення випуску |
Зміна поведінки |
8 червня 2021 р. |
Етап 1. Зміни за замовчуванням вимкнуто, але з можливістю активувати їх за допомогою розділу реєстру. |
14 червня 2022 р. |
Етап 2 Release – за замовчуванням увімкнуто апаратне забезпечення змін, але з можливістю вимкнути їх за допомогою розділу реєстру. |
14 березня 2023 р. |
Фаза 3 Release – за замовчуванням увімкнуто зміни, які за замовчуванням увімкнуто без можливості їх вимкнення. До цього моменту потрібно вирішити будь-які проблеми сумісності зі змінами та програмами, пов'язані з загартуванням у вашому середовищі. |
Перевірка сумісності з апаратним забезпеченням DCOM
Нові події помилок DCOM
Щоб допомогти визначити програми, які можуть мати проблеми сумісності після того, як ми ввімкнули зміни посилення безпеки DCOM, ми додали нові події помилок DCOM в системному журналі. Перегляньте таблиці нижче. Система реєструє ці події, якщо виявить, що DCOM клієнтський застосунок намагається активувати DCOM-сервер, використовуючи рівень автентифікації, менший за RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Ви можете трасувати до клієнтського пристрою з журналу подій на сервері та використовувати журнали подій на боці клієнта, щоб знайти застосунок.
Серверні події – Указує, що сервер отримує запити нижчого рівня
Ідентифікатор події |
Повідомлення |
---|---|
10036 |
"Політика на рівні автентифікації на сервері не дозволяє користувачу %1\%2 SID (%3) з адреси %4 активувати сервер DCOM. Підніміть принаймні рівень автентифікації активації, щоб RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клієнтській програмі". (%1 – домен, %2 – ім'я користувача, %3 – ІДЕНТИФІКАТОР КОРИСТУВАЧА, %4 – IP-адреса клієнта) |
Client Events – указує, яка програма надсилає запити нижчого рівня
Ідентифікатор події |
Повідомлення |
---|---|
10037 |
"Застосунок %1 з PID %2 запитує активацію CLSID %3 на комп'ютері %4 з явно встановленим рівнем автентифікації в %5. Найнижчий рівень автентифікації для активації, необхідний DCOM, – 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Щоб підвищити рівень автентифікації активації, зверніться до постачальника програми". |
10038 |
"Застосунок %1 з PID %2 запитує активацію CLSID %3 на комп'ютері %4 з рівнем автентифікації за промовчанням у %5. Найнижчий рівень автентифікації для активації, необхідний DCOM, – 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Щоб підвищити рівень автентифікації активації, зверніться до постачальника програми". (%1 – шлях застосунку, %2 – PID застосунку, %3 – CLSID класу COM, який програма запитує на активацію, %4 – ім'я комп'ютера, %5 – значення рівня автентифікації) |
Наявність
Ці події помилок доступні лише для підмножини версій Windows; див. таблицю нижче.
Версія Windows |
Доступно в ці дати або пізніше |
---|---|
Windows Server 2022 |
27 вересня 2021 р. |
Windows 10 версії 2004, Windows 10 версії 20H2, Windows 10 версії 21H1 |
1 вересня 2021 р. |
Windows 10 версії 1909 |
26 серпня 2021 р. |
Windows Server 2019, Windows 10 версії 1809 |
26 серпня 2021 р. |
Windows Server 2016, Windows 10 версії 1607 |
Вересень 14, 2021 р. |
Windows Server 2012 R2 та Windows 8.1 |
12 жовтня 2021 р. |
Windows 11 версії 22H2 |
30 вересня 2022 р. |
Виправлення автоматичного підвищення запитів на боці клієнта
Рівень автентифікації для всіх не анонімних запитів на активацію
Щоб зменшити проблеми сумісності програм, ми автоматично підвищили рівень автентифікації для всіх неанонімні запити на активацію від клієнтів DCOM на основі Windows, щоб RPC_C_AUTHN_LEVEL_PKT_INTEGRITY принаймні. У цій зміні більшість клієнтських запитів DCOM на основі Windows буде автоматично прийнято з DCOM апаратні зміни ввімкнуто на стороні сервера без будь-яких подальших змін до DCOM клієнта. Крім того, більшість клієнтів Windows DCOM буде автоматично працювати з DCOM заготовки зміни на стороні сервера без будь-яких подальшого змінення DCOM клієнта.
Нотатка Це виправлення й надалі буде включено до сукупного пакета оновлень.
Часова шкала оновлення виправлень
З моменту початкового випуску в листопаді 2022 року, автоматичне підвищення патч було кілька оновлень.
-
Оновлення за листопад 2022 р.
-
Це оновлення автоматично підвищило рівень автентифікації активації до цілісності пакетів. Цю зміну вимкнуто за замовчуванням у Windows Server 2016 і Windows Server 2019.
-
-
Оновлення за грудень 2022 р.
-
Зміни за листопад увімкнуто за замовчуванням для Windows Server 2016 і Windows Server 2019.
-
Це оновлення також усунуто проблему, яка стосувалась анонімної активації у Windows Server 2016 і Windows Server 2019.
-
-
Оновлення за січень 2023 р.
-
У цьому оновленні вирішено проблему, яка стосувалась анонімної активації на платформах із Windows Server 2008 до Windows 10 (початкова версія, випущена в липні 2015 р.).
-
Якщо ви інсталювали сукупні оновлення системи безпеки станом на січень 2023 року на своїх клієнтах і серверах, у них буде повністю активовано останнє автоматичне подовження виправлень.
Параметр реєстру, який дає змогу вмикати або вимикати зміни, що затягають
На етапах часової шкали, у яких можна вмикати або вимикати зміни затягання для CVE-2021-26414, можна використовувати такий розділ реєстру:
-
Шлях: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Ім'я значення: "RequireIntegrityActivationAuthenticationLevel"
-
Тип: dword
-
Дані значення: default= 0x00000000 означає вимкнуто. 0x00000001 означає увімкнуто. Якщо це значення не визначено, його буде ввімкнуто за замовчуванням.
Примітка Значення слід вводити в шістнадцятковому форматі.
Увага! Після настроювання цього розділу реєстру необхідно перезавантажити пристрій, щоб він набула сили.
Нотатка Якщо ввімкнути розділ реєстру вище, сервери DCOM примусово застосують Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY або новішої версії для активації. Це не впливає на анонімну активацію (активація за допомогою рівня автентифікації RPC_C_AUTHN_LEVEL_NONE). Якщо DCOM-сервер дозволяє анонімну активацію, його все одно можна буде дозволити навіть після ввімкнення тверджень DCOM.
Нотатка Це значення реєстру не існує за промовчанням; ви повинні створити його. Windows прочитає її, якщо вона існує, і не перезапише її.
Нотатка Інсталяція пізніших оновлень не змінюватиме та не видалятиме наявні записи та настройки реєстру.