Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

ΕΝΗΜΕΡΩΣΗ 20 Μαρτίου 2023 - Ενότητα διαθεσιμότητας

Σύνοψη

Το απομακρυσμένο πρωτόκολλο Distributed Component Object Model (DCOM) είναι ένα πρωτόκολλο για την έκθεση αντικειμένων εφαρμογών με χρήση κλήσεων απομακρυσμένης διαδικασίας (RPCs). Η υπηρεσία DCOM χρησιμοποιείται για την επικοινωνία μεταξύ των στοιχείων λογισμικού των συσκευών δικτύου. Οι αλλαγές σκλήρυνσης στο DCOM απαιτούνταν για CVE-2021-26414. Επομένως, συνιστάται να επαληθεύσετε εάν οι εφαρμογές υπολογιστή-πελάτη ή διακομιστή στο περιβάλλον σας που χρησιμοποιούν DCOM ή RPC λειτουργούν όπως αναμένεται με ενεργοποιημένες τις αλλαγές θωράκισης.

Σημείωση Συνιστούμε ανεπιφύλακτα να εγκαταστήσετε την πιο πρόσφατη διαθέσιμη ενημέρωση ασφαλείας. Παρέχουν προηγμένη προστασία από τις πιο πρόσφατες απειλές για την ασφάλεια. Παρέχουν επίσης δυνατότητες που έχουμε προσθέσει για την υποστήριξη της μετεγκατάστασης. Για περισσότερες πληροφορίες και πληροφορίες σχετικά με το πώς σκληρύνουμε το DCOM, ανατρέξτε στο θέμα Θωλήξη ελέγχου ταυτότητας DCOM: τι πρέπει να γνωρίζετε.

Η πρώτη φάση των ενημερώσεων DCOM κυκλοφόρησε στις 8 Ιουνίου 2021. Σε αυτήν την ενημέρωση, η σκλήρυνση DCOM απενεργοποιήθηκε από προεπιλογή. Μπορείτε να τις ενεργοποιήσετε τροποποιώντας το μητρώο όπως περιγράφεται στην ενότητα "Ρύθμιση μητρώου για την ενεργοποίηση ή απενεργοποίηση των αλλαγών θωριότητας" παρακάτω. Η δεύτερη φάση των ενημερώσεων DCOM κυκλοφόρησε στις 14 Ιουνίου 2022. Αυτό άλλαξε τη σκλήρυνση σε ενεργοποιημένη από προεπιλογή, αλλά διατήρησε τη δυνατότητα απενεργοποίησης των αλλαγών χρησιμοποιώντας τις ρυθμίσεις κλειδιών μητρώου. Η τελική φάση των ενημερώσεων DCOM θα κυκλοφορήσει τον Μάρτιο του 2023. Θα διατηρήσει τη σκλήρυνση DCOM ενεργοποιημένη και θα αφαιρέσει τη δυνατότητα απενεργοποίησης.

Λωρίδα χρόνου

Ενημέρωση έκδοσης

Αλλαγή συμπεριφοράς

8 Ιουνίου 2021

Έκδοση φάσης 1 - Οι αλλαγές θωλάκισης απενεργοποιούνται από προεπιλογή, αλλά με τη δυνατότητα να ενεργοποιηθούν χρησιμοποιώντας ένα κλειδί μητρώου.

14 Ιουνίου 2022

Έκδοση φάσης 2 - Οι αλλαγές σκλήρυνσης ενεργοποιήθηκαν από προεπιλογή, αλλά με τη δυνατότητα απενεργοποίησής τους χρησιμοποιώντας ένα κλειδί μητρώου.

14 Μαρτίου 2023

Έκδοση φάσης 3 - Οι αλλαγές θωλάκισης ενεργοποιούνται από προεπιλογή χωρίς δυνατότητα απενεργοποίησής τους. Σε αυτό το σημείο, πρέπει να επιλύσετε τυχόν προβλήματα συμβατότητας με τις αλλαγές και τις εφαρμογές θωμάσης στο περιβάλλον σας.

Δοκιμές για συμβατότητα θωντάνσης DCOM

Νέα συμβάντα σφάλματος DCOM

Για να σας βοηθήσουμε να προσδιορίσετε τις εφαρμογές που ενδέχεται να αντιμετωπίζουν προβλήματα συμβατότητας μετά την ενεργοποίηση των αλλαγών θωμά της ασφάλειας DCOM, προσθέσαμε νέα συμβάντα σφαλμάτων DCOM στο αρχείο καταγραφής συστήματος. Δείτε τους παρακάτω πίνακες. Το σύστημα θα καταγράφει αυτά τα συμβάντα εάν εντοπίσει ότι μια εφαρμογή-πελάτης DCOM προσπαθεί να ενεργοποιήσει ένα διακομιστή DCOM χρησιμοποιώντας ένα επίπεδο ελέγχου ταυτότητας που είναι μικρότερο από RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Μπορείτε να κάνετε ανίχνευση στη συσκευή-πελάτη από το αρχείο καταγραφής συμβάντων στην πλευρά του διακομιστή και να χρησιμοποιήσετε αρχεία καταγραφής συμβάντων από την πλευρά του προγράμματος-πελάτη για να βρείτε την εφαρμογή.

Συμβάντα διακομιστή - Υποδείξτε ότι ο διακομιστής λαμβάνει αιτήσεις χαμηλότερου επιπέδου

Αναγνωριστικό συμβάντος

Μήνυμα

10036

"Η πολιτική επιπέδου ελέγχου ταυτότητας από την πλευρά του διακομιστή δεν επιτρέπει στο χρήστη %1\%2 SID (%3) από τη διεύθυνση %4 να ενεργοποιήσει το διακομιστή DCOM. Αυξήστε το επίπεδο ελέγχου ταυτότητας ενεργοποίησης τουλάχιστον για να RPC_C_AUTHN_LEVEL_PKT_INTEGRITY στην εφαρμογή-πελάτη".

(%1 – τομέας, %2 – όνομα χρήστη, %3 – SID χρήστη, %4 – Διεύθυνση IP υπολογιστή-πελάτη)

Συμβάντα προγράμματος-πελάτη – Υποδείξτε ποια εφαρμογή στέλνει αιτήσεις χαμηλότερου επιπέδου

Αναγνωριστικό συμβάντος

Μήνυμα

10037

"Η εφαρμογή %1 με PID %2 ζητά την ενεργοποίηση του CLSID %3 στον υπολογιστή %4 με ρητά καθορισμένο επίπεδο ελέγχου ταυτότητας στο %5. Το χαμηλότερο επίπεδο ελέγχου ταυτότητας ενεργοποίησης που απαιτείται από την DCOM είναι 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Για να αυξήσετε το επίπεδο ελέγχου ταυτότητας ενεργοποίησης, επικοινωνήστε με τον προμηθευτή της εφαρμογής."

10038

"Η εφαρμογή %1 με PID %2 ζητά την ενεργοποίηση του CLSID %3 στον υπολογιστή %4 με προεπιλεγμένο επίπεδο ελέγχου ταυτότητας ενεργοποίησης στο %5. Το χαμηλότερο επίπεδο ελέγχου ταυτότητας ενεργοποίησης που απαιτείται από την DCOM είναι 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Για να αυξήσετε το επίπεδο ελέγχου ταυτότητας ενεργοποίησης, επικοινωνήστε με τον προμηθευτή της εφαρμογής."

(%1 – Διαδρομή εφαρμογής, %2 – PID εφαρμογής, %3 – CLSID της κλάσης COM που ζητά η εφαρμογή για ενεργοποίηση, %4 – Όνομα υπολογιστή, %5 – Τιμή επιπέδου ελέγχου ταυτότητας)

Διαθεσιμότητα

Αυτά τα συμβάντα σφάλματος είναι διαθέσιμα μόνο για ένα υποσύνολο των εκδόσεων των Windows. ανατρέξτε στον παρακάτω πίνακα.

Έκδοση των Windows

Διαθέσιμο στις ή μετά από αυτές τις ημερομηνίες

Windows Server 2022

27 Σεπτεμβρίου 2021

KB5005619

Windows 10, έκδοση 2004, Windows 10, έκδοση 20H2, Windows 10, έκδοση 21H1

1 Σεπτεμβρίου 2021

KB5005101

Windows 10, έκδοση 1909

26 Αυγούστου 2021

KB5005103

Windows Server 2019, Windows 10, έκδοση 1809

26 Αυγούστου 2021

KB5005102

Windows Server 2016, Windows 10, έκδοση 1607

14 Σεπτεμβρίου 2021

KB5005573

Windows Server 2012 R2 και Windows 8.1

12 Οκτωβρίου 2021

KB5006714

Windows 11, έκδοση 22H2

30 Σεπτεμβρίου 2022

KB5017389

Ενημέρωση κώδικα αυτόματης ανύψωσης αιτήματος από την πλευρά του προγράμματος-πελάτη

Επίπεδο ελέγχου ταυτότητας για όλες τις μη ανώνυμες αιτήσεις ενεργοποίησης

Για να μειώσουμε τα προβλήματα συμβατότητας εφαρμογών, έχουμε αυξήσει αυτόματα το επίπεδο ελέγχου ταυτότητας για όλες τις μη ανώνυμες αιτήσεις ενεργοποίησης από προγράμματα-πελάτες DCOM που βασίζονται σε Windows σε RPC_C_AUTHN_LEVEL_PKT_INTEGRITY τουλάχιστον. Με αυτήν την αλλαγή, οι περισσότερες αιτήσεις προγράμματος-πελάτη DCOM που βασίζονται σε Windows θα γίνονται αυτόματα αποδεκτές με ενεργοποιημένες τις αλλαγές θωμάσης DCOM στην πλευρά του διακομιστή χωρίς περαιτέρω τροποποίηση του προγράμματος-πελάτη DCOM. Επιπλέον, οι περισσότεροι υπολογιστές-πελάτες Windows DCOM θα λειτουργούν αυτόματα με αλλαγές θωριάς DCOM στην πλευρά του διακομιστή χωρίς περαιτέρω τροποποίηση στο πρόγραμμα-πελάτη DCOM.

Σημείωση Αυτή η ενημέρωση κώδικα θα συνεχίσει να περιλαμβάνεται στις αθροιστικές ενημερώσεις.

Ενημέρωση λωρίδας χρόνου ενημέρωσης κώδικα

Από την αρχική κυκλοφορία τον Νοέμβριο του 2022, η ενημέρωση κώδικα αυτόματης ανύψωσης είχε μερικές ενημερώσεις.

  • Ενημέρωση Νοεμβρίου 2022

    • Αυτή η ενημέρωση αύξησε αυτόματα το επίπεδο ελέγχου ταυτότητας ενεργοποίησης στην ακεραιότητα πακέτων. Αυτή η αλλαγή απενεργοποιήθηκε από προεπιλογή στον Windows Server 2016 και τον Windows Server 2019.

  • Ενημέρωση Δεκεμβρίου 2022

    • Η αλλαγή Νοεμβρίου ήταν ενεργοποιημένη από προεπιλογή για τον Windows Server 2016 και τον Windows Server 2019.

    • Αυτή η ενημέρωση αντιμετώπισε επίσης ένα πρόβλημα που επηρέαζε την ανώνυμη ενεργοποίηση στον Windows Server 2016 και τον Windows Server 2019.

  • Ενημέρωση Ιανουαρίου 2023

    • Αυτή η ενημέρωση αντιμετώπισε ένα πρόβλημα που επηρέαζε την ανώνυμη ενεργοποίηση σε πλατφόρμες από τον Windows Server 2008 έως Windows 10 (αρχική έκδοση που κυκλοφόρησε τον Ιούλιο του 2015).

Αν έχετε εγκαταστήσει τις αθροιστικές ενημερώσεις ασφαλείας από τον Ιανουάριο του 2023 στους υπολογιστές-πελάτες και τους διακομιστές σας, θα έχουν την πιο πρόσφατη ενημέρωση κώδικα αυτόματης αναβάθμισης πλήρως ενεργοποιημένη.

Ρύθμιση μητρώου για την ενεργοποίηση ή απενεργοποίηση των αλλαγών θωριότητας

Κατά τη διάρκεια των φάσεων της λωρίδας χρόνου στις οποίες μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε τις αλλαγές θωριότητας για το CVE-2021-26414, μπορείτε να χρησιμοποιήσετε το ακόλουθο κλειδί μητρώου:

  • Διαδρομή: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Value Name: "RequireIntegrityActivationAuthenticationLevel"

  • Τύπος: dword

  • Τιμή Δεδομένα: προεπιλογή= 0x00000000 σημαίνει απενεργοποιημένη. 0x00000001 σημαίνει ενεργοποιημένος. Εάν δεν οριστεί αυτή η τιμή, θα ενεργοποιηθεί από προεπιλογή.

Σημείωση Πρέπει να εισαγάγετε δεδομένα τιμής σε δεκαεξαδική μορφή.

Σημαντικό Για να τεθεί σε ισχύ, πρέπει να επανεκκινήσετε τη συσκευή σας μετά τη ρύθμιση αυτού του κλειδιού μητρώου.

Σημείωση Αν ενεργοποιήσετε το παραπάνω κλειδί μητρώου, οι διακομιστές DCOM θα επιβάλουν Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ή νεότερη έκδοση για ενεργοποίηση. Αυτό δεν επηρεάζει την ανώνυμη ενεργοποίηση (ενεργοποίηση με χρήση επιπέδου ελέγχου ταυτότητας RPC_C_AUTHN_LEVEL_NONE). Εάν ο διακομιστής DCOM επιτρέπει την ανώνυμη ενεργοποίηση, θα εξακολουθήσει να επιτρέπεται ακόμα και όταν είναι ενεργοποιημένες οι αλλαγές θωντάνησης DCOM.

Σημείωση Αυτή η τιμή μητρώου δεν υπάρχει από προεπιλογή. πρέπει να το δημιουργήσετε. Τα Windows θα το διαβάσουν, αν υπάρχει και δεν θα το αντικαταστήσουν.

Σημείωση Η εγκατάσταση νεότερων ενημερώσεων δεν θα αλλάξει ούτε θα καταργήσει υπάρχουσες καταχωρήσεις και ρυθμίσεις μητρώου.

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.