Загальні відомості
В оновленнях від 13 липня 2021 Windows та пізніших Windows з'являться оновлення для CVE-2021-33757.
Після інсталяції оновлень від 13 липня 2021 р. Windows р. або пізнішої версії Windows шифрування за допомогою розширеного стандарту шифрування (AES) рекомендовано для клієнтів Windows під час використання застарілого протоколу MS-SAMR для операцій із паролями, якщо сервер SAM підтримує шифрування AES. Якщо сервер SAM не підтримує шифрування AES, буде дозволено повернення застарілого шифрування RC4.
Зміни в CVE-20201-33757 характерні для протоколу MS-SAMR і незалежні від інших протоколів автентифікації. Ms-SAMR використовує SMB через RPC та іменовані канали. Хоча SMB також підтримує шифрування, за замовчуванням його не ввімкнуто. За замовчуванням зміни в CVE-20201-33757 увімкнуто та забезпечують додатковий захист на шарі SAM. Для захисту від CVE-20201-33757, що входило до 13 липня 2021 Windows 2021 Windows липня 2021 р., не потрібно жодних додаткових змін щодо захисту від CVE-20201-33757, що входили до 13 липня 2021 Windows або новішої версії Windows оновлень для всіх підтримуваних версій Windows. Непідтримувані версії Windows, слід припинити або оновити до підтримуваної версії.
Примітка. CVE-2021-33757 лише змінює спосіб шифрування паролів у разі використання певних API протоколу MS-SAMR, а саме не змінення способу збереження паролів. Докладні відомості про те, як паролі шифруються в Active Directory та локально в базі даних SAM (реєстрі), див. в статті Огляд паролів.
Додаткова інформація
-
Шаблон змінення пароля
Оновлення змінює шаблон змінення пароля протоколу додаванням нового методу змінення пароля, який використовуватиме AES.
Старий метод із RC4
Новий метод за допомогою AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Повний список MS-SAMR OpNums див. в розділі Повідомлення, що обробляли події та правила послідовності.
-
Шаблон встановлення пароля
Оновлення змінює шаблон набору паролів протоколу, додаючи два нових класи відомостей про користувачів до методу SamrSetInformationUser2 (Opnum 58). Відомості про пароль можна встановити таким чином.
Старий метод із RC4
Новий метод за допомогою AES
SamrSetInformationUser2 (Opnum 58) разом із UserInternal4InformationNew, що містить зашифрований пароль користувача з RC4.
SamrSetInformationUser2 (Opnum 58) разом із UserInternal8Information, що містить зашифрований пароль користувача за допомогою AES.
SamrSetInformationUser2 (Opnum 58) разом із UserInternal5InformationNew, що містить зашифрований пароль користувача з RC4 та всіма іншими атрибутами користувача.
SamrSetInformationUser2 (Opnum 58) разом із UserInternal7Information, що містить зашифрований пароль за допомогою AES та всіх інших атрибутів користувача.
Наявний метод SamrConnect5 зазвичай використовується, щоб установити підключення між клієнтом SAM і сервером.
Оновлений сервер тепер поверне новий біт у відповіді SamrConnect5(), як визначено в SAMPR_REVISION_INFO_V1.
Значення |
Значення |
0x00000010 |
Це значення, якщо клієнт уже вказує на те, що клієнт має використовувати шифрування AES зі структурою SAMPR_ENCRYPTED_PASSWORD_AES для шифрування буферів паролів, що надсилаються через проводи. Див. AES Cipher Usage (розділ 3.2.2.4)і SAMPR_ENCRYPTED_PASSWORD_AES (розділ 2.2.6.32). |
Якщо оновлений сервер підтримує AES, клієнт використовуватиме нові методи та нові класи інформації для операцій паролів. Якщо сервер не повертає цей позначку або клієнт не оновлюється, клієнт повернеться до попередніх методів шифрування RC4.
Для операцій із встановлення паролів потрібен записуваний контролер домену (RWDC). Зміни паролів пересилаються контролером доменів лише для читання (RODC) на RWDC. Щоб використовувати AES, потрібно оновити всі пристрої. Наприклад:
-
Якщо клієнт, roDC або RWDC не оновлюється, використовується шифрування RC4.
-
Якщо клієнт, rodc і RWDC оновлюються, використовується шифрування AES.
У 13 липня 2021 року до системного журналу додається чотири нові події, які допомагають визначити неоновлення пристроїв і підвищити безпеку.
-
Ідентифікатор події стану конфігурації 16982 або 16983 ввійшов під час запуску або після зміни конфігурації реєстру.
Ідентифікатор події 16982Журнал подій
Система
Джерело подій
Directory-Services-SAM
Код події
16982
Рівень
Відомості
Текст повідомлення про подію
Диспетчер облікових записів безпеки зараз записує в журналювання всі події для віддалених клієнтів, які викличили застарілий пароль, або встановлює методи віддаленого виклику. Цей параметр може призвести до великої кількості повідомлень і використовується лише протягом короткого періоду часу для виявлення проблем.
Журнал подій
Система
Джерело подій
Directory-Services-SAM
Код події
16983
Рівень
Відомості
Текст повідомлення про подію
Тепер диспетчер облікових записів безпеки періодично записує зведені події для віддалених клієнтів, які викличили застарілий пароль, або встановлює методи віддаленого виклику.
-
Після застосування оновлення від 13 липня 2021 року до системного журналу подій кожні 60 хвилин записується зведена подія 16984.
Ідентифікатор події 16984Журнал подій
Система
Джерело подій
Directory-Services-SAM
Код події
16984
Рівень
Відомості
Текст повідомлення про подію
Диспетчер облікових записів безпеки визначив %x застарілий пароль або настроїв виклики за протоколом RPC протягом останніх 60 хвилин.
-
Після настроювання журналювання подій у всесвітній системі ідентифікатор події 16985 записується до системного журналу щоразу, коли використовується застарілий метод RPC, щоб змінювати або встановлювати пароль облікового запису.
Ідентифікатор події 16985Журнал подій
Система
Джерело подій
Directory-Services-SAM
Код події
16985
Рівень
Відомості
Текст повідомлення про подію
Диспетчер облікових записів безпеки визначив використання застарілої зміни або встановлення методу "RPC" у мережевому клієнті. Щоб використовувати найновішу та безпечнішу версію цього методу, оновіть клієнтську операційну систему або програму.
Докладні відомості:
Метод RPC: %1
Мережева адреса клієнта: %2
SID клієнта: %3
Ім'я користувача: %4
Щоб ввійти в журнал verbose Event ID 16985, на сервері або контролері домену змініть наведені нижче значення реєстру.
Шлях
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Тип
REG_DWORD
Ім'я значення
AuditLegacyPasswordRpcMethods
Значення даних
1 = увімкненене журналювання в усьому журналі
0 або не презентування = всеосяжне журналювання вимкнуто. Лише зведені події. (За замовчуванням)
Як описано в методі SamrUnicodeChangePasswordUser4 (Opnum 73), коли використовується новий метод SamrUnicodeChangePasswordUser4, клієнтський і сервер використовуватиме алгоритм PBKDF2, щоб усунути шифрування та ключ шифрування за допомогою звичайного старого пароля. Це тому, що старий пароль – єдиний загальний секрет, відомий серверу та клієнту.
Докладні відомості про функцію PBKDF2 див. в цьому підрозділі: функція BCryptDeriveKeyPBKDF2 (bcrypt.h).
Якщо потрібно внести зміни з міркувань продуктивності та безпеки, можна змінити кількість ітерацій PBKDF2, які використовував клієнт для змінення пароля, задавши в клієнті таке значення реєстру:
Примітка.: Зменшення кількості ітерацій PBKDF2 знизить рівень безпеки. Ми не радимо, щоб число зменшилось зі стандартного значення. Проте радимо використовувати найбільшу можливу кількість ітерацій PBKDF2.
Шлях |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Тип |
REG_DWORD |
Ім'я значення |
PBKDF2Iterations |
Значення даних |
Від 5 000 до 1000 000 |
Значення за замовчуванням |
10,000 |
Примітка.: PBKDF2 не використовується для операцій із встановлення паролів. Для операцій із встановлення паролів ключ сеансу SMB – це спільний секрет між клієнтом і сервером і використовується як основа для отримання ключів шифрування.
Докладні відомості див. в розділах Отримання ключа сеансу SMB.
Запитання й відповіді
Понизити роботу відбувається, коли сервер або клієнт не підтримує AES.
Оновлені сервери записуватимуться події в журнал, коли використовуються застарілі методи з RC4.
Зараз режим виконання недоступний, але в майбутньому він може бути недоступний. У нас немає дати.
Якщо стороннє пристрій не використовує протокол SAMR, це не важливо. Сторонні постачальники, які реалізували протокол MS-SAMR, можуть упровадити цей варіант. Зверніться до стороннього постачальника, щоб отримати будь-які запитання.
Додаткові зміни не потрібні.
Цей протокол застарілий, і ми передбачаємо, що його використання дуже низьке. Ці API можуть використовувати старі програми. Крім того, деякі засоби Active Directory, як-от AD Users and Computers MMC, використовують SAMR.
Ні. Це впливає лише на зміни паролів, які використовують ці API-ідентифікатори SAMR.
Так. PBKDF2 дорожче, ніж RC4. Якщо на контролері домену, який викликає SamrUnicodeChangePasswordUser4 API, відбувається багато змін паролів, це може вплинути на завантаження LSASS. Ви можете налаштувати ітерації PBKDF2 для клієнтів, якщо це необхідно, але ми не радимо зменшувати значення за замовчуванням, оскільки це нижчий рівень безпеки.
Посилання
Автентифіковане шифрування за допомогою AES-CBC та HMAC-SHA
Застереження про інформацію від третіх осіб
Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ця контактна інформація може змінитися без попереднього повідомлення. Ми не гарантуємо точність контактної інформації сторонніх постачальників.