Sažetak

Ažuriranje ažuriranja Windows 13. srpnja 2021. i Windows ažuriranja dodaju zaštitu za CVE-2021-33757.

Nakon instalacije ažuriranja sustava Windows 13. srpnja 2021. ili novijih ažuriranja sustava Windows, šifriranje standardnog naprednog šifriranja (AES) bit će preferirani način za klijente sustava Windows prilikom korištenja naslijeđenog MS-SAMR protokola za operacije lozinke ako sam poslužitelj podržava AES šifriranje. Ako SAM poslužitelj ne podržava AES šifriranje, bit će dopušten povratak na naslijeđeni ŠIFRIRANJE RC4.

Promjene u protokolu CVE-20201-33757 specifične su za protokol MS-SAMR i neovisne su o drugim protokolima provjere autentičnosti. MS-SAMR koristi SMB preko RPC-a i imenovanih cijevi. Iako SMB podržava i šifriranje, po zadanom nije omogućen. Promjene u programu CVE-20201-33757 po zadanom su omogućene i pružaju dodatnu sigurnost na sloju SAM. Dodatne promjene konfiguracije nisu potrebne nakon instalacije zaštite za AŽURIRANJA za CVE-20201-33757 obuhvaćene ažuriranjima sustava Windows 13. srpnja 2021. ili novijim ažuriranjima sustava Windows na svim podržanim verzijama sustava Windows. Nepodržane verzije Windows bi se trebale ukinuti ili nadograditi na podržanu verziju.

Napomena CVE-2021-33757 mijenja samo način šifriranja lozinki u tranzitu prilikom korištenja određenih API-ja protokola MS-SAMR i ne mijenjajte način na koji se lozinke pohranjuju u ostalo. Dodatne informacije o šifriranju lozinki na odmoru u servisu Active Directory i lokalno u sam bazi podataka (registru) potražite u članku Pregled lozinki.

Dodatne informacije  

Postojeća metoda SamrConnect5 obično se koristi za uspostavljanje veze između sam klijenta i poslužitelja.

Ažurirani poslužitelj sada će vratiti novi bit u odgovoru na SamrConnect5() kao što je definirano u SAMPR_REVISION_INFO_V1

Vrijednost

Značenje

0x00000010

Po primitku klijenta ta vrijednost, kada je postavljena, upućuje na to da klijent mora koristiti AES šifriranje sa strukturom SAMPR_ENCRYPTED_PASSWORD_AES za šifriranje međuspremnika lozinki kada se šalju putem žice. Pogledajte odjeljak Korištenje šifre za AES (odjeljak 3.2.2.4) i SAMPR_ENCRYPTED_PASSWORD_AES (odjeljak 2.2.6.32).

Ako ažurirani poslužitelj podržava AES, klijent će za operacije lozinke koristiti nove metode i nove razrede informacija. Ako poslužitelj ne vrati tu zastavicu ili se klijent ne ažurira, klijent će se vratiti na prethodne metode pomoću šifriranja rc4.

Za operacije skupa lozinki potreban je kontroler domene koji se može pisati (RWDC). Promjene lozinke prosljeđuje kontroler domene samo za čitanje (RODC) na RWDC. Svi uređaji moraju biti ažurirani da bi se AES koristio. Na primjer:

  • Ako se klijent, RODC ili RWDC ne ažuriraju, koristit će se RC4 šifriranje.

  • Ako se klijent, RODC i RWDC ažuriraju, koristit će se AES šifriranje.

Ažuriranja od 13. srpnja 2021. dodaju četiri nova događaja u zapisnik sustava da bi se lakše prepoznali uređaji koji nisu ažurirani i poboljšali sigurnost.

  • Stanje konfiguracije ID događaja 16982 ili 16983 zapisuje se prilikom pokretanja ili promjene konfiguracije registra.ID događaja 16982

    Zapisnik događaja

    Sustav

    Izvor događaja

    Directory-Services-SAM

    ID događaja

    16982

    Razina

    Informacije

    Tekst poruke događaja

    Upravitelj sigurnosnog računa sada zapisi opšira događaje za udaljene klijente koji pozivaju naslijeđenu promjenu lozinke ili postavljanje RPC metoda. Ta postavka može uzrokovati velik broj poruka i trebala bi se koristiti samo kratko vrijeme radi dijagnosticiranja problema.

    ID događaja 16983

    Zapisnik događaja

    Sustav

    Izvor događaja

    Directory-Services-SAM

    ID događaja

    16983

    Razina

    Informacije

    Tekst poruke događaja

    Upravitelj sigurnosnog računa sada zapisi periodične sažetke događaja za udaljene klijente koji pozivaju naslijeđenu promjenu lozinke ili postavljanje RPC metoda.

  • Nakon primjene ažuriranja 13. srpnja 2021. u zapisnik događaja sustava zapisuje se sažetak događaja 16984 svakih 60 minuta.ID događaja 16984

    Zapisnik događaja

    Sustav

    Izvor događaja

    Directory-Services-SAM

    ID događaja

    16984

    Razina

    Informacije

    Tekst poruke događaja

    Upravitelj sigurnosnog računa u zadnjih 60 minuta otkrio je promjenu naslijeđene lozinke za %x ili postavio pozive za RPC metodu.

  • Kada konfigurirate opširan zapisivanje događaja, ID događaja 16985 zapisuje se u zapisnik događaja sustava svaki put kada se koristi naslijeđena metoda RPC za promjenu ili postavljanje lozinke računa.ID događaja 16985

    Zapisnik događaja

    Sustav

    Izvor događaja

    Directory-Services-SAM

    ID događaja

    16985

    Razina

    Informacije

    Tekst poruke događaja

    Upravitelj sigurnosnog računa otkrio je korištenje naslijeđene promjene ili postavio RPC metodu iz mrežnog klijenta. Razmislite o nadogradnji klijentskog operacijskog sustava ili aplikacije da biste koristili najnoviju i sigurniju verziju ove metode.

    Detalji:

    RPC metoda: %1

    Adresa klijentske mreže: %2

    KLIJENTSKI SID: %3

    Korisničko ime: %4 

    Da biste zapisili opšti ID događaja 16985, na poslužitelju ili kontroleru domene prebacite sljedeću vrijednost registra.

    Put

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Vrsta

    REG_DWORD

    Naziv vrijednosti

    AuditLegacyPasswordRpcMethods

    Podaci o vrijednosti

     1 = verbose logging is enabled

     0 ili ne postoji = verbose logging is disabled. Samo sažeti događaji. (Zadano)

Kao što je opisano u članku SamrUnicodeChangePasswordUser4 (Opnum 73), kada koristite novu metodu SamrUnicodeChangePasswordUser4, klijent i poslužitelj koristit će algoritam PBKDF2 za izvođenje ključa za šifriranje i dešifriranje iz stare lozinke običnog teksta. Razlog je to što je stara lozinka jedina zajednička tajna koja je poznata i poslužitelju i klijentu.  

Dodatne informacije o PBKDF2 potražite u članku BCryptDeriveKeyPBKDF2 (bcrypt.h).

Ako morate promijeniti performanse i sigurnosne razloge, možete prilagoditi broj ITERACIJA PBKDF2 koje klijent koristi za promjenu lozinke postavljanjem sljedeće vrijednosti registra na klijentu.

Napomena: Smanjivanjem broja ITERACIJA PBKDF2 smanjit će se sigurnost.  Ne preporučujemo smanjenje broja od zadanog. No preporučujemo da koristite najveći mogući broj ITERACIJA PBKDF2.

Put 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Vrsta 

REG_DWORD 

Naziv vrijednosti 

PBKDF2Terations 

Podaci o vrijednosti 

Najmanje 5 000 do najviše 1 000 000

Vrijednost zadana 

10,000  

Napomena: PBKDF2 se ne koristi za operacije skupa lozinki. Za operacije skupa lozinki SMB session key je zajednička tajna između klijenta i poslužitelja i koristi se kao temelj za izvođenje ključeva za šifriranje. 

Dodatne informacije potražite u članku Stjecanje SMB ključa sesije.

Najčešća pitanja (najčešća pitanja)

Unazaditi se događa kada poslužitelj ili klijent ne podržava AES.   

Ažurirani poslužitelji zapisit će događaje kada se koriste naslijeđeni načini uz RC4. 

Trenutno nema dostupnog načina izvršenja, ali možda će u budućnosti biti. Nemamo datum. 

Ako uređaj drugih proizvođača ne koristi PROTOKOL SAMR, to nije važno. Dobavljači drugih proizvođača koji implementiraju protokol MS-SAMR mogu odabrati implementaciju tog protokola. Za sva pitanja obratite se dobavljaču treće strane. 

Nisu potrebne dodatne promjene.  

Ovaj je protokol naslijeđe i očekujemo da je njegova upotreba vrlo niska. Naslijeđene aplikacije mogu koristiti te API-je. Uz to, neki alati servisa Active Directory, kao što su AD Korisnici i računala, MMC koriste SAMR.

ne. To utječe samo na promjene lozinke koje koriste te specifične API-je za SAMR.

Da. PBKDF2 skuplji je od RC4. Ako se na kontroleru domene istodobno pojavljuje mnogo promjena lozinki koje pozivaju API SamrUnicodeChangePasswordUser4, to može utjecati na opterećenje PROCESORA LSASS-a. Ako je potrebno, možete podesiti PBKDF2 iteracije na klijentima, no ne preporučujemo smanjenje od zadanog jer bi se time smanjila sigurnost.  

Reference

Provjereno šifriranje pomoću AES-CBC i HMAC-SHA

Korištenje AES šifre

Odricanje odgovornosti za informacije drugih proizvođača

Pružamo podatke za kontakt drugih proizvođača koji će vam pomoći da pronađete tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez prethodne obavijesti. Ne jamčimo točnost tih podataka za kontakt drugih proizvođača.

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.