Kokkuvõte

13. juulil 2021 Windows värskendused ja uuemad värskendused Windows CVE-2021-33757 kaitse.

Pärast 13. juuli 2021 Windows värskenduste või uuemate värskenduste installimist Windows on täiustatud krüptimisstandardi (AES) krüptimine eelistatud meetod Windows-i klientklientidele, kui kasutate paroolitoimingute jaoks ms-samr-protokolli pärandprotokolli, kui SAM-i server toetab AES-i krüptimist. Kui SAM-i server ei toeta AES-krüptimist, on lubatud pärand-RC4-krüptimise tagasipööramine.

CVE-20201-33757 muudatused on seotud MS-SAMR-protokolliga ja ei sõltu muudest autentimisprotokollidest. MS-SAMR kasutab SMB-d RPC ja nimega torude jaoks. Kuigi SMB toetab ka krüptimist, pole see vaikimisi lubatud. Vaikimisi on CVE-20201-33757 muudatused lubatud ja pakuvad SAM-i kihis täiendavat turvalisust. 13. juulil 2021 lisatud CVE-20201-33757 jaoks ei ole vaja täiendavaid konfiguratsioonimuudatusi, mis Windows värskendused või uuemad Windows värskendused kõigis toetatud Windows. Toetuseta versiooni Windows tuleks lõpetada või täiendada toetatud versiooniks.

Märkus. CVE-2021-33757 muudab ainult seda, kuidas paroolid krüptitakse transiidi ajal, kui kasutate MS-SAMR-protokolli konkreetseid API-sid, ja konkreetselt ÄRGE muutke paroolide talletamisviise puhkeajas. Lisateavet paroolide krüptimise kohta Active Directorys ja kohalikult SAM-andmebaasis (registris) leiate teemast Paroolide ülevaade.

Lisateave  

Olemasolevat SamrConnect5 meetodit kasutatakse tavaliselt SAM-i kliendi ja serveri vahelise ühenduse loomiseks.

Värskendatud server tagastab nüüd uue biti SamrConnect5() vastuses, nagu on määratletud SAMPR_REVISION_INFO_V1. 

Väärtus

Tähendus

0x00000010

Kui klient saab selle väärtuse kätte, näitab see väärtus, kui see on määratud, et klient peaks kasutama AES-krüptimist SAMPR_ENCRYPTED_PASSWORD_AES struktuuris, et krüptida paroolipuhvrid, kui see saadetakse üle juhtme. Vt AES cipher Usage (punkt 3.2.2.4)SAMPR_ENCRYPTED_PASSWORD_AES (punkt 2.2.6.32).

Kui värskendatud server toetab AES-i, kasutab klient paroolitoimingute jaoks uusi meetodeid ja uusi teabeklasse. Kui server ei tagasta seda lippu või kui klienti ei värskendata, kasutab klient RC4-krüptimisega varasemaid meetodeid.

Paroolikomplekti toimingute jaoks on vaja kirjutatavat domeenikontrollerit (RWDC). Paroolimuudatused edastab kirjutuskaitstud domeenikontroller (RODC) RWDC-le. AES-i kasutatavad seadmed peavad olema värskendatud. Näiteks:

  • Kui klientrakendust, RODC-i või RWDC-d ei värskendata, kasutatakse RC4-krüptimist.

  • Kui klientrakendust, RODC-i ja RWDC-d värskendatakse, kasutatakse AES-krüptimist.

13. juulil 2021 tehtud värskendustega lisatakse süsteemilogisse neli uut sündmust, mis aitavad tuvastada seadmeid, mida ei värskendata ja mis aitavad turvalisust parandada.

  • Konfiguratsiooni olek Sündmuse ID 16982 või 16983 logitakse käivitamisel või registri konfiguratsiooni muutmisel.Sündmuse ID 16982

    Sündmuselogi

    Süsteem

    Sündmuse allikas

    Directory-Services-SAM

    Sündmuse ID

    16982

    Tase

    Teave

    Sündmusesõnumi tekst

    Turbekonto haldur logib nüüd kaugklientide jaoks paljusõnaliseid sündmusi, mis nimetavad pärandparooli muudatusi või seavad RPC-meetodeid. See säte võib põhjustada suurt hulka sõnumeid ja seda tuleks probleemide diagnoosimiseks kasutada ainult lühikese aja jooksul.

    Sündmuse ID 16983

    Sündmuselogi

    Süsteem

    Sündmuse allikas

    Directory-Services-SAM

    Sündmuse ID

    16983

    Tase

    Teave

    Sündmusesõnumi tekst

    Turbekonto haldur logib nüüd kaugklientide jaoks perioodilisi kokkuvõttesündmusi, mis nimetavad pärandparooli muudatusi või seavad RPC-meetodeid.

  • Pärast 13. juuli 2021 värskenduse rakendamist logitakse süsteemi sündmuselogisse iga 60 minuti järel kokkuvõtva sündmuse 16984.Sündmuse ID 16984

    Sündmuselogi

    Süsteem

    Sündmuse allikas

    Directory-Services-SAM

    Sündmuse ID

    16984

    Tase

    Teave

    Sündmusesõnumi tekst

    Turbekonto haldur tuvastas viimase 60 minuti jooksul %x pärandparooli muudatuse või määras RPC-meetodi kõned.

  • Pärast tegusõnalise sündmuse logimise konfigureerimist logitakse sündmuse ID 16985 süsteemisündmuste logisse iga kord, kui konto parooli muutmiseks või häälestamiseks kasutatakse pärand-RPC-meetodit.Sündmuse ID 16985

    Sündmuselogi

    Süsteem

    Sündmuse allikas

    Directory-Services-SAM

    Sündmuse ID

    16985

    Tase

    Teave

    Sündmusesõnumi tekst

    Turbekonto haldur tuvastas pärandmuutuse kasutamise või määras võrgukliendilt RPC-meetodi. Kaaluge kliendi opsüsteemi või rakenduse täiendamist, et kasutada selle meetodi uusimat ja turvalisemat versiooni.

    Üksikasjad:

    RPC-meetod: %1

    Klientvõrgu aadress: %2

    Kliendi SID:% 3

    Kasutajanimi: %4 

    Sündmuse ID 16985 logimiseks lülitage serveris või domeenikontrolleris sisse järgmine registriväärtus.

    Tee

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Tüüp

    REG_DWORD

    Väärtuse nimi

    AuditLegacyPasswordRpcMethods

    Väärtuse andmed

     1 = verbose logimine on lubatud

     0 või mitte = verbose logimine on keelatud. Ainult kokkuvõttesündmused. (Vaikesäte)

Nagu on kirjeldatud samrUnicodeChangePasswordUser4 (Opnum 73), kasutavad klient ja server uue SamrUnicodeChangePasswordUser4 meetodi kasutamisel PBKDF2 algoritmi vanast lihttekstist krüptimis- ja dekrüptimisvõtme tuletamiseks. Põhjus on selles, et vana parool on ainus levinud saladus, mis on teada nii serverile kui ka kliendile.  

PBKDF2 kohta leiate lisateavet teemast Funktsioon BCryptDeriveKeyPBKDF2 (bcrypt.h).

Kui peate jõudluse ja turbega seotud põhjustel muudatusi tegema, saate muuta PBKDF2 iteratsioonide arvu, mida klient kasutab parooli muutmiseks, määrates kliendi jaoks järgmise registriväärtuse.

Märkus.: PBKDF2 iteratsioonide arvu vähendamine vähendab turvalisust.  Me ei soovita arvu vaikimisi vähendada. Soovitame siiski kasutada suurimat võimalikku PBKDF2 iteratsioonide arvu.

Tee 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Tüüp 

REG_DWORD 

Väärtuse nimi 

PBKDF2Iterations 

Väärtuse andmed 

Miinimum 5000 kuni maksimaalselt 1000 000

Vaikeväärtus 

10,000  

Märkus.: PBKDF2 ei kasutata paroolikomplekti toimingute jaoks. Paroolikomplekti toimingute jaoks on SMB seansivõti kliendi ja serveri vaheline ühissala ning seda kasutatakse krüptimisvõtmete tuletamise alusena. 

Lisateavet leiate teemast SMB seansivõtme soetamine.

Korduma kippuvad küsimused (KKK)

Versiooni alandamine toimub siis, kui server või klient ei toeta AES-i.   

Värskendatud serverid logivad sündmused, kui kasutatakse pärandmeetodeid RC4-ga. 

Praegu pole jõustamisrežiim saadaval, kuid see võib tulevikus olemas olla. Meil pole kuupäeva. 

Kui kolmanda osapoole seade ei kasuta SAMR-protokolli, pole see oluline. Kolmanda osapoole tarnijad, kes juurutavad MS-SAMR-protokolli, võivad selle rakendada. Küsimuste korral pöörduge kolmanda osapoole tarnija poole. 

Täiendavaid muudatusi pole vaja teha.  

See protokoll on pärand ja eeldame, et selle kasutamine on väga väike. Pärandrakendused võivad kasutada neid API-sid. Lisaks kasutavad mõned Active Directory tööriistad (nt AD users ja Computers MMC) SAMR-i.

Ei. See mõjutab ainult neid kindlaid SAMR-i API-sid kasutavad paroolimuudatused.

Jah. PBKDF2 on kallim kui RC4. Kui samrUnicodeChangePasswordUser4 API-d kutsuva domeenikontroller teeb samal ajal palju paroolimuudatusi, võib see mõjutada LSASS-i protsessorikoormust. Vajadusel saate PBKDF2 iteratsioone klientide jaoks häälestada, kuid me ei soovita vaikimisi vähendada, kuna see vähendaks turvalisust.  

Viited

Autenditud krüptimine AES-CBC ja HMAC-SHA abil

AES-i šifri kasutamine

Kolmanda osapoole teabe lahtiütlus

Tehnilise toe leidmiseks pakume kolmanda osapoole kontaktteavet. Seda kontaktteavet võidakse ette teatamata muuta. Me ei taga kolmanda osapoole kontaktteabe täpsust.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.