Kokkuvõte
13. juulil 2021 Windows värskendused ja uuemad värskendused Windows CVE-2021-33757 kaitse.
Pärast 13. juuli 2021 Windows värskenduste või uuemate värskenduste installimist Windows on täiustatud krüptimisstandardi (AES) krüptimine eelistatud meetod Windows-i klientklientidele, kui kasutate paroolitoimingute jaoks ms-samr-protokolli pärandprotokolli, kui SAM-i server toetab AES-i krüptimist. Kui SAM-i server ei toeta AES-krüptimist, on lubatud pärand-RC4-krüptimise tagasipööramine.
CVE-20201-33757 muudatused on seotud MS-SAMR-protokolliga ja ei sõltu muudest autentimisprotokollidest. MS-SAMR kasutab SMB-d RPC ja nimega torude jaoks. Kuigi SMB toetab ka krüptimist, pole see vaikimisi lubatud. Vaikimisi on CVE-20201-33757 muudatused lubatud ja pakuvad SAM-i kihis täiendavat turvalisust. 13. juulil 2021 lisatud CVE-20201-33757 jaoks ei ole vaja täiendavaid konfiguratsioonimuudatusi, mis Windows värskendused või uuemad Windows värskendused kõigis toetatud Windows. Toetuseta versiooni Windows tuleks lõpetada või täiendada toetatud versiooniks.
Märkus. CVE-2021-33757 muudab ainult seda, kuidas paroolid krüptitakse transiidi ajal, kui kasutate MS-SAMR-protokolli konkreetseid API-sid, ja konkreetselt ÄRGE muutke paroolide talletamisviise puhkeajas. Lisateavet paroolide krüptimise kohta Active Directorys ja kohalikult SAM-andmebaasis (registris) leiate teemast Paroolide ülevaade.
Lisateave
-
Parooli muutmise muster
Värskendused muudavad protokolli parooli muutmise mustrit, lisades uue parooli muutmise meetodi, mis kasutab AES-i.
Vana meetod RC4-ga
Uus meetod AES-iga
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
MS-SAMR OpNumsi täieliku loendi leiate teemast Sõnumite töötlemise sündmused ja järjestamisreeglid.
-
Paroolikomplekti muster
Värskendused muudavad protokolli paroolikomplekti mustrit,lisades SamrSetInformationUser2 (Opnum 58) meetodile kaks uut kasutajateabe klassi. Parooliteabe saate määrata järgmiselt.
Vana meetod RC4-ga
Uus meetod AES-iga
SamrSetInformationUser2 (Opnum 58) koos kasutajaga UserInternal4InformationNew, millel on krüptitud kasutajaparool RC4-ga.
SamrSetInformationUser2 (Opnum 58) koos kasutajaga UserInternal8Information, millel on krüptitud kasutajaparool AES-iga.
SamrSetInformationUser2 (Opnum 58) koos kasutajaga UserInternal5InformationNew, mis sisaldab krüptitud kasutajaparooli RC4 ja kõigi muude kasutajaatribuutide abil.
SamrSetInformationUser2 (Opnum 58) koos kasutajaga UserInternal7Information, mis sisaldab krüptitud parooli AES-i ja kõigi muude kasutajaatribuutide abil.
Olemasolevat SamrConnect5 meetodit kasutatakse tavaliselt SAM-i kliendi ja serveri vahelise ühenduse loomiseks.
Värskendatud server tagastab nüüd uue biti SamrConnect5() vastuses, nagu on määratletud SAMPR_REVISION_INFO_V1.
Väärtus |
Tähendus |
0x00000010 |
Kui klient saab selle väärtuse kätte, näitab see väärtus, kui see on määratud, et klient peaks kasutama AES-krüptimist SAMPR_ENCRYPTED_PASSWORD_AES struktuuris, et krüptida paroolipuhvrid, kui see saadetakse üle juhtme. Vt AES cipher Usage (punkt 3.2.2.4)SAMPR_ENCRYPTED_PASSWORD_AES (punkt 2.2.6.32). |
Kui värskendatud server toetab AES-i, kasutab klient paroolitoimingute jaoks uusi meetodeid ja uusi teabeklasse. Kui server ei tagasta seda lippu või kui klienti ei värskendata, kasutab klient RC4-krüptimisega varasemaid meetodeid.
Paroolikomplekti toimingute jaoks on vaja kirjutatavat domeenikontrollerit (RWDC). Paroolimuudatused edastab kirjutuskaitstud domeenikontroller (RODC) RWDC-le. AES-i kasutatavad seadmed peavad olema värskendatud. Näiteks:
-
Kui klientrakendust, RODC-i või RWDC-d ei värskendata, kasutatakse RC4-krüptimist.
-
Kui klientrakendust, RODC-i ja RWDC-d värskendatakse, kasutatakse AES-krüptimist.
13. juulil 2021 tehtud värskendustega lisatakse süsteemilogisse neli uut sündmust, mis aitavad tuvastada seadmeid, mida ei värskendata ja mis aitavad turvalisust parandada.
-
Konfiguratsiooni olek Sündmuse ID 16982 või 16983 logitakse käivitamisel või registri konfiguratsiooni muutmisel.
Sündmuse ID 16982Sündmuselogi
Süsteem
Sündmuse allikas
Directory-Services-SAM
Sündmuse ID
16982
Tase
Teave
Sündmusesõnumi tekst
Turbekonto haldur logib nüüd kaugklientide jaoks paljusõnaliseid sündmusi, mis nimetavad pärandparooli muudatusi või seavad RPC-meetodeid. See säte võib põhjustada suurt hulka sõnumeid ja seda tuleks probleemide diagnoosimiseks kasutada ainult lühikese aja jooksul.
Sündmuselogi
Süsteem
Sündmuse allikas
Directory-Services-SAM
Sündmuse ID
16983
Tase
Teave
Sündmusesõnumi tekst
Turbekonto haldur logib nüüd kaugklientide jaoks perioodilisi kokkuvõttesündmusi, mis nimetavad pärandparooli muudatusi või seavad RPC-meetodeid.
-
Pärast 13. juuli 2021 värskenduse rakendamist logitakse süsteemi sündmuselogisse iga 60 minuti järel kokkuvõtva sündmuse 16984.
Sündmuse ID 16984Sündmuselogi
Süsteem
Sündmuse allikas
Directory-Services-SAM
Sündmuse ID
16984
Tase
Teave
Sündmusesõnumi tekst
Turbekonto haldur tuvastas viimase 60 minuti jooksul %x pärandparooli muudatuse või määras RPC-meetodi kõned.
-
Pärast tegusõnalise sündmuse logimise konfigureerimist logitakse sündmuse ID 16985 süsteemisündmuste logisse iga kord, kui konto parooli muutmiseks või häälestamiseks kasutatakse pärand-RPC-meetodit.
Sündmuse ID 16985Sündmuselogi
Süsteem
Sündmuse allikas
Directory-Services-SAM
Sündmuse ID
16985
Tase
Teave
Sündmusesõnumi tekst
Turbekonto haldur tuvastas pärandmuutuse kasutamise või määras võrgukliendilt RPC-meetodi. Kaaluge kliendi opsüsteemi või rakenduse täiendamist, et kasutada selle meetodi uusimat ja turvalisemat versiooni.
Üksikasjad:
RPC-meetod: %1
Klientvõrgu aadress: %2
Kliendi SID:% 3
Kasutajanimi: %4
Sündmuse ID 16985 logimiseks lülitage serveris või domeenikontrolleris sisse järgmine registriväärtus.
Tee
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Tüüp
REG_DWORD
Väärtuse nimi
AuditLegacyPasswordRpcMethods
Väärtuse andmed
1 = verbose logimine on lubatud
0 või mitte = verbose logimine on keelatud. Ainult kokkuvõttesündmused. (Vaikesäte)
Nagu on kirjeldatud samrUnicodeChangePasswordUser4 (Opnum 73), kasutavad klient ja server uue SamrUnicodeChangePasswordUser4 meetodi kasutamisel PBKDF2 algoritmi vanast lihttekstist krüptimis- ja dekrüptimisvõtme tuletamiseks. Põhjus on selles, et vana parool on ainus levinud saladus, mis on teada nii serverile kui ka kliendile.
PBKDF2 kohta leiate lisateavet teemast Funktsioon BCryptDeriveKeyPBKDF2 (bcrypt.h).
Kui peate jõudluse ja turbega seotud põhjustel muudatusi tegema, saate muuta PBKDF2 iteratsioonide arvu, mida klient kasutab parooli muutmiseks, määrates kliendi jaoks järgmise registriväärtuse.
Märkus.: PBKDF2 iteratsioonide arvu vähendamine vähendab turvalisust. Me ei soovita arvu vaikimisi vähendada. Soovitame siiski kasutada suurimat võimalikku PBKDF2 iteratsioonide arvu.
Tee |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Tüüp |
REG_DWORD |
Väärtuse nimi |
PBKDF2Iterations |
Väärtuse andmed |
Miinimum 5000 kuni maksimaalselt 1000 000 |
Vaikeväärtus |
10,000 |
Märkus.: PBKDF2 ei kasutata paroolikomplekti toimingute jaoks. Paroolikomplekti toimingute jaoks on SMB seansivõti kliendi ja serveri vaheline ühissala ning seda kasutatakse krüptimisvõtmete tuletamise alusena.
Lisateavet leiate teemast SMB seansivõtme soetamine.
Korduma kippuvad küsimused (KKK)
Versiooni alandamine toimub siis, kui server või klient ei toeta AES-i.
Värskendatud serverid logivad sündmused, kui kasutatakse pärandmeetodeid RC4-ga.
Praegu pole jõustamisrežiim saadaval, kuid see võib tulevikus olemas olla. Meil pole kuupäeva.
Kui kolmanda osapoole seade ei kasuta SAMR-protokolli, pole see oluline. Kolmanda osapoole tarnijad, kes juurutavad MS-SAMR-protokolli, võivad selle rakendada. Küsimuste korral pöörduge kolmanda osapoole tarnija poole.
Täiendavaid muudatusi pole vaja teha.
See protokoll on pärand ja eeldame, et selle kasutamine on väga väike. Pärandrakendused võivad kasutada neid API-sid. Lisaks kasutavad mõned Active Directory tööriistad (nt AD users ja Computers MMC) SAMR-i.
Ei. See mõjutab ainult neid kindlaid SAMR-i API-sid kasutavad paroolimuudatused.
Jah. PBKDF2 on kallim kui RC4. Kui samrUnicodeChangePasswordUser4 API-d kutsuva domeenikontroller teeb samal ajal palju paroolimuudatusi, võib see mõjutada LSASS-i protsessorikoormust. Vajadusel saate PBKDF2 iteratsioone klientide jaoks häälestada, kuid me ei soovita vaikimisi vähendada, kuna see vähendaks turvalisust.
Viited
Autenditud krüptimine AES-CBC ja HMAC-SHA abil
Kolmanda osapoole teabe lahtiütlus
Tehnilise toe leidmiseks pakume kolmanda osapoole kontaktteavet. Seda kontaktteavet võidakse ette teatamata muuta. Me ei taga kolmanda osapoole kontaktteabe täpsust.