Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

מעודכן 20 במרץ 2023 - מקטע זמינות

סיכום

פרוטוקול מרוחק של מודל אובייקט רכיב מבוזר (DCOM) הוא פרוטוקול לחשיפה של אובייקטי יישומים באמצעות קריאות לפרוצדורות מרוחקות (RPCs). DCOM משמש לתקשורת בין רכיבי התוכנה של התקנים ברשת. נדרשו שינויי הקשחה ב- DCOM עבור CVE-2021-26414. לכן, מומלץ לוודא אם יישומי לקוח או שרת בסביבה שלך המשתמשים ב- DCOM או ב- RPC פועלים כצפוי כאשר שינויי הקשוח זמינים.

הערה אנו ממליצים להתקין את עדכון האבטחה האחרון הזמין. הם מספקים הגנות מתקדמות מפני איומי האבטחה העדכניים ביותר. הם גם מספקים יכולות שהוספנו כדי לתמוך בהעברה. לקבלת מידע נוסף והקשר לגבי האופן שבו אנו מקקשים את DCOM, ראה הקשת אימות DCOM: המידע שעליך לדעת.

השלב הראשון של עדכוני DCOM פורסם ב- 8 ביוני, 2021. בעדכון זה, הקשת DCOM הפכה ללא זמינה כברירת מחדל. באפשרותך להפוך אותם לזמינים על-ידי שינוי הרישום כמתואר בסעיף "הגדרת רישום כדי להפוך את שינויי הקשת" לזמינים או ללא זמינים" להלן. השלב השני של עדכוני DCOM פורסם ב- 14 ביוני 2022. פעולה זו שינתה את הקשתיות לזמינה כברירת מחדל, אך שמרה על היכולת להפוך את השינויים ללא זמינים באמצעות הגדרות מפתח הרישום. השלב הסופי של עדכוני DCOM יופץ במרץ 2023. היא תשאיר את הקשית DCOM מופעלת ותסיר את היכולת להפוך אותה ללא זמינה.

ציר זמן

עדכון הפצה

שינוי אופן פעולה

ה-8 ביוני 2021

מהדורה שלב 1 - הקשת שינויים אינה זמינה כברירת מחדל, אך היכולת להפוך אותם לזמינים באמצעות מפתח רישום.

ה-14 ביוני 2022

מהדורה שלב 2 - הקשת שינויים מופעלת כברירת מחדל, אך עם היכולת להפוך אותם ללא זמינים באמצעות מפתח רישום.

(יום שלישי 14 מרץ 2023)

הפצה בשלב 3 - הקשת שינויים מופעלת כברירת מחדל ללא יכולת להפוך אותם ללא זמינים. בשלב זה, עליך לפתור בעיות תאימות כלשהן עם השינויים הקשים והיישומים בסביבה שלך.

בדיקת תאימות של הקשת DCOM

אירועי שגיאה חדשים של DCOM

כדי לעזור לך לזהות את היישומים שעשויים להיתקל בבעיות תאימות לאחר שאנו מאפשרים שינויי הקשת אבטחה של DCOM, הוספנו אירועי שגיאה חדשים של DCOM ביומן המערכת. עיין בטבלאות הבאות. המערכת תרשום אירועים אלה אם היא מזהה כי יישום לקוח DCOM מנסה להפעיל שרת DCOM באמצעות רמת אימות נמוכה מ- RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. באפשרותך לעקוב אחר התקן הלקוח מ יומן האירועים בצד השרת ולהשתמש ביומני אירועים בצד הלקוח כדי למצוא את היישום.

אירועי שרת - ציין שהשרת מקבל בקשות ברמה נמוכה יותר

מזהה האירוע

ההודעה

10036

"מדיניות רמת האימות בצד השרת אינה מאפשרת למשתמש %1\%2 SID (%3) מכתובת %4 להפעיל את שרת DCOM. נא הגדל את רמת אימות ההפעלה כדי RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ביישום הלקוח."

(%1 – תחום, %2 – שם משתמש, %3 – SID של משתמש, %4 – כתובת IP של לקוח)

אירועי לקוח – ציין איזה יישום שולח בקשות ברמה נמוכה יותר

מזהה האירוע

ההודעה

10037

"היישום %1 עם PID %2 מבקש להפעיל את CLSID %3 במחשב %4 עם הגדרה מפורשת של רמת אימות ב- %5. רמת אימות ההפעלה הנמוכה ביותר הנדרשת על-ידי DCOM היא 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). כדי להעלות את רמת אימות ההפעלה, פנה לספק היישום."

10038

"היישום %1 עם PID %2 מבקש להפעיל את CLSID %3 במחשב %4 עם רמת אימות הפעלה המהווה ברירת מחדל ב- %5. רמת אימות ההפעלה הנמוכה ביותר הנדרשת על-ידי DCOM היא 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). כדי להעלות את רמת אימות ההפעלה, פנה לספק היישום."

(%1 – נתיב יישום, %2 – Application PID, %3 – CLSID של מחלקת ה- COM שהיישום מבקש להפעיל, %4 – שם המחשב, %5 – ערך רמת האימות)

זמינות

אירועי שגיאה אלה זמינים רק עבור קבוצת משנה של גירסאות Windows; עיין בטבלה שלהלן.

גירסת Windows

זמין בתאריכים אלה או לאחר מכן

Windows Server 2022

עדכון 27 בספטמבר 2021

KB5005619

Windows 10, גירסה 2004, Windows 10 20H2, Windows 10, גירסה 21H1

עדכון 1 בספטמבר 2021

KB5005101

Windows 10, גרסה 1909

ה-26 באוגוסט 2021

KB5005103

Windows Server 2019, Windows 10, גרסה 1809

ה-26 באוגוסט 2021

KB5005102

Windows Server 2016, Windows 10, גרסה 1607

14 בספטמבר 2021

KB5005573

Windows Server 2012 R2 ו- Windows 8.1

12 באוקטובר 2021

KB5006714

Windows 11, גירסה 22H2

עדכון 30 בספטמבר 2022

KB5017389

תיקון העלאה אוטומטית של בקשה בצד הלקוח

רמת אימות עבור כל בקשות ההפעלה שאינן אנונימיות

כדי לסייע בהפחתת בעיות תאימות של אפליקציות, העלינו באופן אוטומטי את רמת האימות עבור כל בקשות ההפעלה הלא אנונימיות מהלקוחות מבוססי Windows כדי RPC_C_AUTHN_LEVEL_PKT_INTEGRITY לכל הפחות. עם שינוי זה, רוב בקשות לקוח DCOM המבוססות על Windows יתקבלו באופן אוטומטי עם שינויי הקשת DCOM זמינים בצד השרת ללא שינוי נוסף בלקוח DCOM. בנוסף, רוב לקוחות Windows DCOM יפעלו באופן אוטומטי עם שינויי הקשת DCOM בצד השרת ללא שינוי נוסף בלקוח DCOM.

הערה תיקון זה ימשיך להיכלל בעדכונים המצטברים.

ציר זמן של עדכון תיקון

מאז ההפצה הראשונית בנובמבר 2022, תיקון ההרמה האוטומטית כלל כמה עדכונים.

  • עדכון נובמבר 2022

    • עדכון זה העלה באופן אוטומטי את רמת אימות ההפעלה לשלמות מנות. שינוי זה הפך ללא זמין כברירת מחדל ב- Windows Server 2016 וב- Windows Server 2019.

  • עדכון דצמבר 2022

    • השינוי בנובמבר הופעל כברירת מחדל עבור Windows Server 2016 ו- Windows Server 2019.

    • עדכון זה גם טופלה בבעיה שהשפיעה על הפעלה אנונימית ב- Windows Server 2016 וב- Windows Server 2019.

  • עדכון ינואר 2023

    • עדכון זה טופלה בבעיה שהשפיעה על הפעלה אנונימית בפלטפורמות מ- Windows Server 2008 עד Windows 10 (הגירסה הראשונית שפורסמה ביולי 2015).

אם התקנת את עדכוני האבטחה המצטברים החל מינואר 2023 ללקוחות ולשרתים שלך, התיקון האחרון להרמה אוטומטית יהיה זמין באופן מלא.

הגדרת רישום כדי להפוך את שינויי הקשת לזמינים או ללא זמינים

במהלך שלבי ציר הזמן שבהם באפשרותך להפוך את שינויי הקשחה לזמינים או ללא זמינים עבור CVE-2021-26414, באפשרותך להשתמש במפתח הרישום הבא:

  • נתיב: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • שם ערך: "RequireIntegrityActivationAuthenticationLevel"

  • סוג: dword

  • נתוני ערך: ברירת מחדל = 0x00000000 משמעו לא זמין. 0x00000001 משמע זמין. אם ערך זה אינו מוגדר, הוא יהפוך לזמין כברירת מחדל.

הערה עליך להזין נתוני ערך בתבנית הקסדצימאלית.

חשוב עליך להפעיל מחדש את המכשיר לאחר הגדרת מפתח רישום זה כדי שהוא יהיה מחובר לתוקף.

הערה הפיכת מפתח הרישום לעיל להפעלה תגרום לשרתי DCOM לאכוף Authentication-Level של RPC_C_AUTHN_LEVEL_PKT_INTEGRITY או גירסה מתקדמת יותר להפעלה. הדבר אינו משפיע על הפעלה אנונימית (הפעלה באמצעות רמת אימות RPC_C_AUTHN_LEVEL_NONE). אם שרת DCOM מאפשר הפעלה אנונימית, הוא עדיין יהיה מותר גם עם שינויי הקשת DCOM מופעלים.

הערה ערך רישום זה אינו קיים כברירת מחדל; עליך ליצור אותו. Windows יקרא אותו אם הוא קיים ולא יחליף אותו.

הערה התקנת עדכונים מאוחרים יותר לא תשנה ולא תסיר ערכים והגדרות רישום קיימים.

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.