Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

更新 2023 年 3 月 20 日 - 可用性區段

摘要

分佈 式元件物件模型 (DCOM) 遠端通訊協定是一種通訊協定,可使用 遠端過程呼叫 (RPC)來呈現應用程式物件。 DCOM 用於網路裝置的軟體元件之間的通訊。 CVE-2021-26414需要在 DCOM 中進行硬化變更。 因此,建議您確認環境中使用 DCOM 或 RPC 的用戶端或伺服器應用程式是否如預期般運作,並啟用強化變更。

注意 強烈建議您安裝最新的可用安全性更新。 它們提供防範最新安全性威脅的進階保護。 它們也會提供我們新增以支援移轉的功能。 如需有關我們如何強化 DCOM 的詳細資訊和內容,請參閱 DCOM 驗證硬化:您需要知道的事項

DCOM 更新的第一個階段已于 2021 年 6 月 8 日發行。 在該更新中,DCOM 硬化預設為停用。 您可以依照下方一節所述,修改登錄來啟用。 DCOM 更新的第二階段已于 2022 年 6 月 14 日發行。 這變更了預設啟用的硬化功能,但保留使用登錄機碼設定停用變更的功能。 DCOM 更新的最終階段將于 2023 年 3 月發行。 這會讓 DCOM 持續啟用硬化,並移除停用功能。

時間表

更新發行版本

行為變更

2021 年 6 月 8 日

階段 1 發行 - 根據預設,會停用硬化變更,但能夠使用登錄機碼來啟用這些變更。

2022 年 6 月 14 日

階段 2 發行 - 預設會啟用硬化變更,但可以使用登錄機碼來停用變更。

2023 年 3 月 14 日

階段 3 發行 - 預設會啟用硬化變更,但無法停用這些變更。 此時,您必須解決環境中硬化變更和應用程式的任何相容性問題。

測試 DCOM 強化相容性

新的 DCOM 錯誤事件

為了協助您找出在啟用 DCOM 安全性硬化變更之後可能會有相容性問題的應用程式,我們在系統記錄檔中新增了新的 DCOM 錯誤事件。 請參閱下表。 如果系統偵測到 DCOM 用戶端應用程式嘗試使用小於RPC_C_AUTHN_LEVEL_PKT_INTEGRITY的驗證層級啟用 DCOM 伺服器,系統將會記錄這些事件。 您可以從伺服器端事件記錄檔追蹤到用戶端裝置,並使用用戶端事件記錄檔來尋找應用程式。

伺服器事件 - 表示伺服器收到較低層級的要求

事件識別碼

訊息

10036

「伺服器端驗證層級原則不允許使用者 %1\%2 SID (%3) 從位址 %4 啟用 DCOM 伺服器。 請至少將啟用驗證層級提高至RPC_C_AUTHN_LEVEL_PKT_INTEGRITY用戶端應用程式中」。

(%1 – 網域,%2 – 使用者名稱,%3 - 使用者 SID,%4 – 用戶端 IP 位址)

用戶端事件 – 指出哪個應用程式正在傳送較低層級的要求

事件識別碼

訊息

10037

「Application %1 with PID %2 is request to activate CLSID %3 on computer %4 with explicitly authentication level at %5. DCOM 要求的最低啟用驗證層級為 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) 。 若要提高啟用驗證層級,請連絡應用程式廠商。」

10038

「Application %1 with PID %2 is request to activate CLSID %3 on computer %4 with default activation authentication level at %5. DCOM 要求的最低啟用驗證層級為 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) 。 若要提高啟用驗證層級,請連絡應用程式廠商。」

(%1 – 應用程式路徑,%2 – 應用程式 PID,%3 – 應用程式要求啟用的 COM 類別 CLSID,%4 – 電腦名稱稱,%5 - 驗證層級的值)

可用性

這些錯誤事件僅適用于 Windows 版本的子集;請參閱下表。

Windows 版本

可在這些日期或之後使用

Windows Server 2022

2021 年 9 月 27 日

KB5005619

Windows 10,版本 2004,Windows 10,版本 20H2,Windows 10,版本 21H1

2021 年 9 月 1 日

KB5005101

Windows 10 1909 版

2021 年 8 月 26 日

KB5005103

Windows Server 2019 版本 1809 Windows 10

2021 年 8 月 26 日

KB5005102

Windows Server 2016、Windows 10 版本 1607

2021 年 9 月 14 日

KB5005573

Windows Server 2012 R2 和 Windows 8.1

2021 年 10 月 12 日

KB5006714

Windows 11版本 22H2

2022 年 9 月 30 日

KB5017389

用戶端要求自動提升修補程式

所有非匿名啟用要求的驗證層級

為了協助減少應用程式相容性問題,我們已針對所有來自 Windows 型 DCOM 用戶端的非匿名啟用要求自動提高驗證層級,以至少RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。 透過這項變更,大部分的 Windows 型 DCOM 用戶端要求將會自動接受,並在伺服器端啟用 DCOM 硬化變更,而不會對 DCOM 用戶端進行任何進一步的修改。 此外,大部分的 Windows DCOM 用戶端會自動在伺服器端使用 DCOM 強化變更,而不會對 DCOM 用戶端進行任何進一步的修改。

注意 這個修補程式會繼續包含在累積更新中。

修補更新時程表

自 2022 年 11 月初次發行以來,自動提升修補程式已有一些更新。

  • 2022 年 11 月更新

    • 此更新會自動將啟用驗證層級提升為封包完整性。 Windows Server 2016 和 Windows Server 2019 上預設會停用此變更。

  • 2022 年 12 月更新

    • Windows Server 2016 和 Windows Server 2019 預設會啟用 11 月變更。

    • 此更新也解決了影響在 Windows Server 2016 和 Windows Server 2019 上匿名啟用的問題。

  • 2023 年 1 月更新

    • 此更新解決了影響從 Windows Server 2008 到 Windows 10 (2015 年 7 月發行之初始版本之平臺上的匿名啟用) 的問題。

如果您已在用戶端和伺服器上安裝截至 2023 年 1 月的累積安全性更新,則會完全啟用最新的自動提升修補程式。

啟用或停用硬化變更的登錄設定

在您可以啟用或停用 CVE-2021-26414硬化變更的時程表階段中,您可以使用下列登錄機碼:

  • 路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • 值名稱:「RequireIntegrityActivationAuthenticationLevel

  • 類型:dword

  • 值資料:default= 0x00000000 表示已停用。 0x00000001表示已啟用。 如果未定義此值,預設會啟用。

附註 您必須以十六進位格式輸入值資料。

重要: 您必須在設定此登錄機碼之後重新開機裝置,此機碼才會生效。

注意 啟用上述登錄機碼會讓 DCOM 伺服器強制執行RPC_C_AUTHN_LEVEL_PKT_INTEGRITY或更新版本的 Authentication-Level 來啟用。 這不會影響匿名啟用 (使用驗證層級RPC_C_AUTHN_LEVEL_NONE) 啟用。 如果 DCOM 伺服器允許匿名啟用,即使已啟用 DCOM 硬化變更,仍然允許這樣做。

注意 此登錄值預設為不存在;您必須建立它。 Windows 會在它存在時讀取它,並且不會覆寫它。

注意 安裝稍後的更新將不會變更或移除現有的登錄專案和設定。

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。