更新 2023 年 3 月 20 日 - 可用性區段
摘要
分佈 式元件物件模型 (DCOM) 遠端通訊協定是一種通訊協定,可使用 遠端過程呼叫 (RPC)來呈現應用程式物件。 DCOM 用於網路裝置的軟體元件之間的通訊。 CVE-2021-26414需要在 DCOM 中進行硬化變更。 因此,建議您確認環境中使用 DCOM 或 RPC 的用戶端或伺服器應用程式是否如預期般運作,並啟用強化變更。
注意 強烈建議您安裝最新的可用安全性更新。 它們提供防範最新安全性威脅的進階保護。 它們也會提供我們新增以支援移轉的功能。 如需有關我們如何強化 DCOM 的詳細資訊和內容,請參閱 DCOM 驗證硬化:您需要知道的事項。
DCOM 更新的第一個階段已于 2021 年 6 月 8 日發行。 在該更新中,DCOM 硬化預設為停用。 您可以依照下方一節所述,修改登錄來啟用。 DCOM 更新的第二階段已于 2022 年 6 月 14 日發行。 這變更了預設啟用的硬化功能,但保留使用登錄機碼設定停用變更的功能。 DCOM 更新的最終階段將于 2023 年 3 月發行。 這會讓 DCOM 持續啟用硬化,並移除停用功能。
時間表
更新發行版本 |
行為變更 |
2021 年 6 月 8 日 |
階段 1 發行 - 根據預設,會停用硬化變更,但能夠使用登錄機碼來啟用這些變更。 |
2022 年 6 月 14 日 |
階段 2 發行 - 預設會啟用硬化變更,但可以使用登錄機碼來停用變更。 |
2023 年 3 月 14 日 |
階段 3 發行 - 預設會啟用硬化變更,但無法停用這些變更。 此時,您必須解決環境中硬化變更和應用程式的任何相容性問題。 |
測試 DCOM 強化相容性
新的 DCOM 錯誤事件
為了協助您找出在啟用 DCOM 安全性硬化變更之後可能會有相容性問題的應用程式,我們在系統記錄檔中新增了新的 DCOM 錯誤事件。 請參閱下表。 如果系統偵測到 DCOM 用戶端應用程式嘗試使用小於RPC_C_AUTHN_LEVEL_PKT_INTEGRITY的驗證層級啟用 DCOM 伺服器,系統將會記錄這些事件。 您可以從伺服器端事件記錄檔追蹤到用戶端裝置,並使用用戶端事件記錄檔來尋找應用程式。
伺服器事件 - 表示伺服器收到較低層級的要求
事件識別碼 |
訊息 |
---|---|
10036 |
「伺服器端驗證層級原則不允許使用者 %1\%2 SID (%3) 從位址 %4 啟用 DCOM 伺服器。 請至少將啟用驗證層級提高至RPC_C_AUTHN_LEVEL_PKT_INTEGRITY用戶端應用程式中」。 (%1 – 網域,%2 – 使用者名稱,%3 - 使用者 SID,%4 – 用戶端 IP 位址) |
用戶端事件 – 指出哪個應用程式正在傳送較低層級的要求
事件識別碼 |
訊息 |
---|---|
10037 |
「Application %1 with PID %2 is request to activate CLSID %3 on computer %4 with explicitly authentication level at %5. DCOM 要求的最低啟用驗證層級為 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) 。 若要提高啟用驗證層級,請連絡應用程式廠商。」 |
10038 |
「Application %1 with PID %2 is request to activate CLSID %3 on computer %4 with default activation authentication level at %5. DCOM 要求的最低啟用驗證層級為 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) 。 若要提高啟用驗證層級,請連絡應用程式廠商。」 (%1 – 應用程式路徑,%2 – 應用程式 PID,%3 – 應用程式要求啟用的 COM 類別 CLSID,%4 – 電腦名稱稱,%5 - 驗證層級的值) |
可用性
這些錯誤事件僅適用于 Windows 版本的子集;請參閱下表。
Windows 版本 |
可在這些日期或之後使用 |
---|---|
Windows Server 2022 |
2021 年 9 月 27 日 |
Windows 10,版本 2004,Windows 10,版本 20H2,Windows 10,版本 21H1 |
2021 年 9 月 1 日 |
Windows 10 1909 版 |
2021 年 8 月 26 日 |
Windows Server 2019 版本 1809 Windows 10 |
2021 年 8 月 26 日 |
Windows Server 2016、Windows 10 版本 1607 |
2021 年 9 月 14 日 |
Windows Server 2012 R2 和 Windows 8.1 |
2021 年 10 月 12 日 |
Windows 11版本 22H2 |
2022 年 9 月 30 日 |
用戶端要求自動提升修補程式
所有非匿名啟用要求的驗證層級
為了協助減少應用程式相容性問題,我們已針對所有來自 Windows 型 DCOM 用戶端的非匿名啟用要求自動提高驗證層級,以至少RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。 透過這項變更,大部分的 Windows 型 DCOM 用戶端要求將會自動接受,並在伺服器端啟用 DCOM 硬化變更,而不會對 DCOM 用戶端進行任何進一步的修改。 此外,大部分的 Windows DCOM 用戶端會自動在伺服器端使用 DCOM 強化變更,而不會對 DCOM 用戶端進行任何進一步的修改。
注意 這個修補程式會繼續包含在累積更新中。
修補更新時程表
自 2022 年 11 月初次發行以來,自動提升修補程式已有一些更新。
-
2022 年 11 月更新
-
此更新會自動將啟用驗證層級提升為封包完整性。 Windows Server 2016 和 Windows Server 2019 上預設會停用此變更。
-
-
2022 年 12 月更新
-
Windows Server 2016 和 Windows Server 2019 預設會啟用 11 月變更。
-
此更新也解決了影響在 Windows Server 2016 和 Windows Server 2019 上匿名啟用的問題。
-
-
2023 年 1 月更新
-
此更新解決了影響從 Windows Server 2008 到 Windows 10 (2015 年 7 月發行之初始版本之平臺上的匿名啟用) 的問題。
-
如果您已在用戶端和伺服器上安裝截至 2023 年 1 月的累積安全性更新,則會完全啟用最新的自動提升修補程式。
啟用或停用硬化變更的登錄設定
在您可以啟用或停用 CVE-2021-26414硬化變更的時程表階段中,您可以使用下列登錄機碼:
-
路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
值名稱:「RequireIntegrityActivationAuthenticationLevel」
-
類型:dword
-
值資料:default= 0x00000000 表示已停用。 0x00000001表示已啟用。 如果未定義此值,預設會啟用。
附註 您必須以十六進位格式輸入值資料。
重要: 您必須在設定此登錄機碼之後重新開機裝置,此機碼才會生效。
注意 啟用上述登錄機碼會讓 DCOM 伺服器強制執行RPC_C_AUTHN_LEVEL_PKT_INTEGRITY或更新版本的 Authentication-Level 來啟用。 這不會影響匿名啟用 (使用驗證層級RPC_C_AUTHN_LEVEL_NONE) 啟用。 如果 DCOM 伺服器允許匿名啟用,即使已啟用 DCOM 硬化變更,仍然允許這樣做。
注意 此登錄值預設為不存在;您必須建立它。 Windows 會在它存在時讀取它,並且不會覆寫它。
注意 安裝稍後的更新將不會變更或移除現有的登錄專案和設定。