Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

ĐÃ CẬP NHẬT 20 tháng 3, 2023 - Phần Sẵn sàng

Tóm tắt

Giao thức Từ xa Mô hình Đối tượng Thành phần Phân tán (DCOM) là một giao thức để hiển thị các đối tượng ứng dụng sử dụng thủ tục gọi từ xa (RPCs). DCOM được sử dụng để giao tiếp giữa các cấu phần phần mềm của thiết bị kết nối mạng. Các thay đổi khó khăn trong DCOM là bắt buộc đối với CVE-2021-26414. Do đó, chúng tôi khuyên bạn nên xác minh xem các ứng dụng máy khách hoặc máy chủ trong môi trường của bạn sử dụng DCOM hoặc RPC hoạt động như mong đợi với các thay đổi cứng được bật hay không.

Lưu ý Chúng tôi khuyên bạn nên cài đặt bản cập nhật bảo mật mới nhất có sẵn. Các ứng dụng này cung cấp tính năng bảo vệ nâng cao khỏi các mối đe dọa bảo mật mới nhất. Chúng cũng cung cấp các chức năng mà chúng tôi đã thêm vào để hỗ trợ di chuyển. Để biết thêm thông tin và ngữ cảnh về cách chúng tôi đang làm cứng DCOM, hãy xem Mục C cố định xác thực DCOM: những điều bạn cần biết.

Giai đoạn đầu tiên của các bản cập nhật DCOM được phát hành vào ngày 8 tháng 6 năm 2021. Trong bản cập nhật đó, DCOM hardening đã bị vô hiệu hóa theo mặc định. Bạn có thể bật chúng bằng cách sửa đổi sổ đăng ký như được mô tả trong phần "Thiết đặt sổ đăng ký để bật hoặc tắt các thay đổi c cứng" dưới đây. Giai đoạn thứ hai của các bản cập nhật DCOM được phát hành vào ngày 14 tháng 6 năm 2022. Điều đó đã thay đổi độ cứng để bật theo mặc định nhưng vẫn duy trì khả năng vô hiệu hóa các thay đổi bằng cách sử dụng cài đặt khóa đăng ký. Giai đoạn cuối cùng của các bản cập nhật DCOM sẽ được phát hành vào tháng 3 năm 2023. Nó sẽ giữ cho DCOM hardening kích hoạt và loại bỏ khả năng vô hiệu hóa nó.

Dòng thời gian

Bản phát hành cập nhật

Thay đổi hành vi

Ngày 8 tháng 6 năm 2021

Giai đoạn 1 Phát hành - Hardening thay đổi bị vô hiệu hóa theo mặc định nhưng với khả năng để cho phép họ bằng cách sử dụng một khóa đăng ký.

Ngày 14 tháng 6 năm 2022

Phase 2 Release - Hardening changes enabled by default but with the ability to disable them using a registry key.

Ngày 14 tháng 3 năm 2023

Phase 3 Release - Hardening changes enabled by default with no ability to disable them. Đến thời điểm này, bạn phải giải quyết bất kỳ vấn đề tương thích với các thay đổi cứng và các ứng dụng trong môi trường của bạn.

Kiểm tra tính tương thích cứng DCOM

Sự kiện Lỗi DCOM mới

Để giúp bạn xác định các ứng dụng có thể gặp sự cố tương thích sau khi chúng tôi bật các thay đổi c cường bảo mật DCOM, chúng tôi đã thêm các sự kiện lỗi DCOM mới vào nhật ký Hệ thống. Xem bảng dưới đây. Hệ thống sẽ ghi nhật ký các sự kiện này nếu phát hiện ra rằng một ứng dụng máy khách DCOM đang cố gắng kích hoạt một máy chủ DCOM bằng cách sử dụng một mức xác thực mà là ít hơn RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Bạn có thể theo dõi thiết bị khách từ nhật ký sự kiện phía máy chủ và sử dụng nhật ký sự kiện phía máy khách để tìm ứng dụng.

Sự kiện Máy chủ - Chỉ báo máy chủ đang nhận yêu cầu cấp thấp hơn

ID Sự kiện

Thư

10036

"Chính sách mức xác thực phía máy chủ không cho phép người dùng %1\%2 SID (%3) từ địa chỉ %4 để kích hoạt máy chủ DCOM. Vui lòng nâng mức xác thực kích hoạt ít nhất để kích hoạt RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ứng dụng khách".

(%1 – miền, %2 – tên người dùng, %3 – SID Người dùng, %4 – Địa chỉ IP Máy khách)

Sự kiện Máy khách – Chỉ rõ ứng dụng nào đang gửi yêu cầu cấp thấp hơn

ID Sự kiện

Thư

10037

"Ứng dụng %1 với PID %2 đang yêu cầu kích hoạt CLSID %3 trên máy tính %4 với mức xác thực được thiết lập rõ ràng ở %5. Mức xác thực kích hoạt thấp nhất mà DCOM yêu cầu là 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Để nâng mức xác thực kích hoạt, vui lòng liên hệ với nhà cung cấp ứng dụng."

10038

"Ứng dụng %1 với PID %2 đang yêu cầu kích hoạt CLSID %3 trên máy tính %4 với mức xác thực kích hoạt mặc định là %5. Mức xác thực kích hoạt thấp nhất mà DCOM yêu cầu là 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Để nâng mức xác thực kích hoạt, vui lòng liên hệ với nhà cung cấp ứng dụng."

(%1 – Đường dẫn Ứng dụng, %2 – Application PID, %3 – CLSID của lớp COM mà ứng dụng yêu cầu kích hoạt, %4 – Tên Máy tính, %5 – Giá trị của Mức Xác thực)

Sẵn sàng

Các sự kiện lỗi này chỉ sẵn dùng cho một tập hợp con các phiên bản Windows; hãy xem bảng dưới đây.

Phiên bản Windows

Sẵn dùng vào hoặc sau những ngày này

Windows Server 2022

Ngày 27 tháng 9 năm 2021

KB5005619

Windows 10, phiên bản 2004, Windows 10, phiên bản 20H2, Windows 10, phiên bản 21H1

Ngày 1 tháng 9 năm 2021

KB5005101

Windows 10, phiên bản 1909

Ngày 26 tháng 8 năm 2021

KB5005103

Windows Server 2019, Windows 10, phiên bản 1809

Ngày 26 tháng 8 năm 2021

KB5005102

Windows Server 2016, Windows 10, phiên bản 1607

14/9/2021

KB5005573

Windows Server 2012 R2 và Windows 8.1

Ngày 12 tháng 10 năm 2021

KB5006714

Windows 11, phiên bản 22H2

Ngày 30 tháng 9 năm 2022

KB5017389

Bản vá tự động nâng cấp yêu cầu phía máy khách

Mức xác thực cho tất cả yêu cầu kích hoạt không ẩn danh

Để giúp giảm sự cố về tính tương thích của ứng dụng, chúng tôi đã tự động nâng mức xác thực cho tất cả các yêu cầu kích hoạt không ẩn danh từ máy khách DCOM dựa trên Windows xuống RPC_C_AUTHN_LEVEL_PKT_INTEGRITY tối thiểu. Với sự thay đổi này, hầu hết các yêu cầu máy khách DCOM dựa trên Windows sẽ được tự động chấp nhận với DCOM thay đổi cứng bật ở phía máy chủ mà không cần sửa đổi thêm bất kỳ máy khách DCOM. Ngoài ra, hầu hết các máy khách Windows DCOM sẽ tự động làm việc với DCOM thay đổi cứng ở phía máy chủ mà không cần bất kỳ sửa đổi thêm cho máy khách DCOM.

Lưu ý Bản vá này sẽ tiếp tục được bao gồm trong các bản cập nhật tích lũy.

Dòng thời gian cập nhật bản vá

Kể từ khi phát hành lần đầu vào tháng 11 năm 2022, bản vá nâng cao tự động đã có một vài bản cập nhật.

  • Bản cập nhật tháng 11 năm 2022

    • Bản cập nhật này tự động nâng mức xác thực kích hoạt lên thành tính toàn vẹn của gói tin. Thay đổi này đã bị tắt theo mặc định trên Windows Server 2016 và Windows server 2019.

  • Bản cập nhật Tháng Mười Hai 2022

    • Thay đổi tháng 11 được bật theo mặc định cho Windows Server 2016 và Windows Server 2019.

    • Bản cập nhật này cũng khắc phục sự cố ảnh hưởng đến việc kích hoạt ẩn danh trên Windows Server 2016 và Windows Server 2019.

  • Bản cập nhật tháng 1 năm 2023

    • Bản cập nhật này đã khắc phục sự cố ảnh hưởng đến kích hoạt ẩn danh trên các nền tảng từ Windows Server 2008 đến Windows 10 (phiên bản đầu tiên được phát hành vào tháng 7 năm 2015).

Nếu bạn đã cài đặt các bản cập nhật bảo mật tích lũy kể từ tháng 1 năm 2023 trên máy khách và máy chủ của mình, chúng sẽ được kích hoạt đầy đủ bản vá tự động nâng cấp mới nhất.

Thiết đặt sổ đăng ký để bật hoặc tắt các thay đổi cứng

Trong giai đoạn đường thời gian mà bạn có thể bật hoặc tắt các thay đổi cứng cho CVE-2021-26414, bạn có thể sử dụng khóa đăng ký sau đây:

  • Đường dẫn: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Tên Giá trị: "RequireIntegrityActivationAuthenticationLevel"

  • Loại: dword

  • Dữ liệu Giá trị: mặc định= 0x00000000 nghĩa là đã tắt. 0x00000001 nghĩa là đã bật. Nếu giá trị này không được xác định, nó sẽ mặc định được bật.

Lưu ý Bạn phải nhập Dữ liệu Giá trị ở định dạng thập lục phân.

Quan trọng Bạn phải khởi động lại thiết bị sau khi đặt khóa đăng ký này để khóa có hiệu lực.

Lưu ý Việc bật khóa đăng ký ở trên sẽ làm cho máy chủ DCOM thực thi Authentication-Level kích RPC_C_AUTHN_LEVEL_PKT_INTEGRITY kích hoạt trở lên. Điều này không ảnh hưởng đến kích hoạt ẩn danh (kích hoạt bằng cách sử dụng mức xác RPC_C_AUTHN_LEVEL_NONE). Nếu máy chủ DCOM cho phép kích hoạt vô danh, nó vẫn sẽ được cho phép ngay cả khi DCOM thay đổi cứng được kích hoạt.

Lưu ý Giá trị sổ đăng ký này không tồn tại theo mặc định; bạn phải tạo ra nó. Windows sẽ đọc nó nếu nó tồn tại và sẽ không ghi đè nó.

Lưu ý Việc cài đặt các bản cập nhật sau này sẽ không thay đổi hay loại bỏ các mục đăng ký và cài đặt hiện có.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.