Sažetak
Ažuriranje ažuriranja Windows 13. srpnja 2021. i Windows ažuriranja dodaju zaštitu za CVE-2021-33757.
Nakon instalacije ažuriranja sustava Windows 13. srpnja 2021. ili novijih ažuriranja sustava Windows, šifriranje standardnog naprednog šifriranja (AES) bit će preferirani način za klijente sustava Windows prilikom korištenja naslijeđenog MS-SAMR protokola za operacije lozinke ako sam poslužitelj podržava AES šifriranje. Ako SAM poslužitelj ne podržava AES šifriranje, bit će dopušten povratak na naslijeđeni ŠIFRIRANJE RC4.
Promjene u protokolu CVE-20201-33757 specifične su za protokol MS-SAMR i neovisne su o drugim protokolima provjere autentičnosti. MS-SAMR koristi SMB preko RPC-a i imenovanih cijevi. Iako SMB podržava i šifriranje, po zadanom nije omogućen. Promjene u programu CVE-20201-33757 po zadanom su omogućene i pružaju dodatnu sigurnost na sloju SAM. Dodatne promjene konfiguracije nisu potrebne nakon instalacije zaštite za AŽURIRANJA za CVE-20201-33757 obuhvaćene ažuriranjima sustava Windows 13. srpnja 2021. ili novijim ažuriranjima sustava Windows na svim podržanim verzijama sustava Windows. Nepodržane verzije Windows bi se trebale ukinuti ili nadograditi na podržanu verziju.
Napomena CVE-2021-33757 mijenja samo način šifriranja lozinki u tranzitu prilikom korištenja određenih API-ja protokola MS-SAMR i ne mijenjajte način na koji se lozinke pohranjuju u ostalo. Dodatne informacije o šifriranju lozinki na odmoru u servisu Active Directory i lokalno u sam bazi podataka (registru) potražite u članku Pregled lozinki.
Dodatne informacije
-
Uzorak promjene lozinke
Ažuriranja mijenjaju uzorak promjene lozinke protokola dodavanjem novog načina promjene lozinke koji će koristiti AES.
Stari način uz RC4
Novi način s AES-om
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Potpuni popis ms-SAMR opNumsa pogledajte u odjeljku Događaji obrade poruka i pravila redoslijeda.
-
Uzorak skupa lozinki
Ažuriranja mijenjaju uzorak skupa lozinki protokola dodavanjem dvije nove klase korisničkih informacija u metodu SamrSetInformationUser2 (Opnum 58). Podatke o lozinki možete postaviti na sljedeći način.
Stari način uz RC4
Novi način s AES-om
SamrSetInformationUser2 (Opnum 58) zajedno s userInternal4InformationNew koja sa rc4 ima šifriranu korisničku lozinku.
SamrSetInformationUser2 (Opnum 58) zajedno s userInternal8Information koji sa AES-om drži šifriranu korisničku lozinku.
SamrSetInformationUser2 (Opnum 58) zajedno s userInternal5InformationNew koja ima šifriranu korisničku lozinku s RC4 i svim drugim korisničkim atributima.
SamrSetInformationUser2 (Opnum 58) zajedno s userInternal7Information koji drži šifriranu lozinku s AES-om i svim drugim korisničkim atributima.
Postojeća metoda SamrConnect5 obično se koristi za uspostavljanje veze između sam klijenta i poslužitelja.
Ažurirani poslužitelj sada će vratiti novi bit u odgovoru na SamrConnect5() kao što je definirano u SAMPR_REVISION_INFO_V1.
Vrijednost |
Značenje |
0x00000010 |
Po primitku klijenta ta vrijednost, kada je postavljena, upućuje na to da klijent mora koristiti AES šifriranje sa strukturom SAMPR_ENCRYPTED_PASSWORD_AES za šifriranje međuspremnika lozinki kada se šalju putem žice. Pogledajte odjeljak Korištenje šifre za AES (odjeljak 3.2.2.4) i SAMPR_ENCRYPTED_PASSWORD_AES (odjeljak 2.2.6.32). |
Ako ažurirani poslužitelj podržava AES, klijent će za operacije lozinke koristiti nove metode i nove razrede informacija. Ako poslužitelj ne vrati tu zastavicu ili se klijent ne ažurira, klijent će se vratiti na prethodne metode pomoću šifriranja rc4.
Za operacije skupa lozinki potreban je kontroler domene koji se može pisati (RWDC). Promjene lozinke prosljeđuje kontroler domene samo za čitanje (RODC) na RWDC. Svi uređaji moraju biti ažurirani da bi se AES koristio. Na primjer:
-
Ako se klijent, RODC ili RWDC ne ažuriraju, koristit će se RC4 šifriranje.
-
Ako se klijent, RODC i RWDC ažuriraju, koristit će se AES šifriranje.
Ažuriranja od 13. srpnja 2021. dodaju četiri nova događaja u zapisnik sustava da bi se lakše prepoznali uređaji koji nisu ažurirani i poboljšali sigurnost.
-
Stanje konfiguracije ID događaja 16982 ili 16983 zapisuje se prilikom pokretanja ili promjene konfiguracije registra.
ID događaja 16982Zapisnik događaja
Sustav
Izvor događaja
Directory-Services-SAM
ID događaja
16982
Razina
Informacije
Tekst poruke događaja
Upravitelj sigurnosnog računa sada zapisi opšira događaje za udaljene klijente koji pozivaju naslijeđenu promjenu lozinke ili postavljanje RPC metoda. Ta postavka može uzrokovati velik broj poruka i trebala bi se koristiti samo kratko vrijeme radi dijagnosticiranja problema.
Zapisnik događaja
Sustav
Izvor događaja
Directory-Services-SAM
ID događaja
16983
Razina
Informacije
Tekst poruke događaja
Upravitelj sigurnosnog računa sada zapisi periodične sažetke događaja za udaljene klijente koji pozivaju naslijeđenu promjenu lozinke ili postavljanje RPC metoda.
-
Nakon primjene ažuriranja 13. srpnja 2021. u zapisnik događaja sustava zapisuje se sažetak događaja 16984 svakih 60 minuta.
ID događaja 16984Zapisnik događaja
Sustav
Izvor događaja
Directory-Services-SAM
ID događaja
16984
Razina
Informacije
Tekst poruke događaja
Upravitelj sigurnosnog računa u zadnjih 60 minuta otkrio je promjenu naslijeđene lozinke za %x ili postavio pozive za RPC metodu.
-
Kada konfigurirate opširan zapisivanje događaja, ID događaja 16985 zapisuje se u zapisnik događaja sustava svaki put kada se koristi naslijeđena metoda RPC za promjenu ili postavljanje lozinke računa.
ID događaja 16985Zapisnik događaja
Sustav
Izvor događaja
Directory-Services-SAM
ID događaja
16985
Razina
Informacije
Tekst poruke događaja
Upravitelj sigurnosnog računa otkrio je korištenje naslijeđene promjene ili postavio RPC metodu iz mrežnog klijenta. Razmislite o nadogradnji klijentskog operacijskog sustava ili aplikacije da biste koristili najnoviju i sigurniju verziju ove metode.
Detalji:
RPC metoda: %1
Adresa klijentske mreže: %2
KLIJENTSKI SID: %3
Korisničko ime: %4
Da biste zapisili opšti ID događaja 16985, na poslužitelju ili kontroleru domene prebacite sljedeću vrijednost registra.
Put
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Vrsta
REG_DWORD
Naziv vrijednosti
AuditLegacyPasswordRpcMethods
Podaci o vrijednosti
1 = verbose logging is enabled
0 ili ne postoji = verbose logging is disabled. Samo sažeti događaji. (Zadano)
Kao što je opisano u članku SamrUnicodeChangePasswordUser4 (Opnum 73), kada koristite novu metodu SamrUnicodeChangePasswordUser4, klijent i poslužitelj koristit će algoritam PBKDF2 za izvođenje ključa za šifriranje i dešifriranje iz stare lozinke običnog teksta. Razlog je to što je stara lozinka jedina zajednička tajna koja je poznata i poslužitelju i klijentu.
Dodatne informacije o PBKDF2 potražite u članku BCryptDeriveKeyPBKDF2 (bcrypt.h).
Ako morate promijeniti performanse i sigurnosne razloge, možete prilagoditi broj ITERACIJA PBKDF2 koje klijent koristi za promjenu lozinke postavljanjem sljedeće vrijednosti registra na klijentu.
Napomena: Smanjivanjem broja ITERACIJA PBKDF2 smanjit će se sigurnost. Ne preporučujemo smanjenje broja od zadanog. No preporučujemo da koristite najveći mogući broj ITERACIJA PBKDF2.
Put |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Vrsta |
REG_DWORD |
Naziv vrijednosti |
PBKDF2Terations |
Podaci o vrijednosti |
Najmanje 5 000 do najviše 1 000 000 |
Vrijednost zadana |
10,000 |
Napomena: PBKDF2 se ne koristi za operacije skupa lozinki. Za operacije skupa lozinki SMB session key je zajednička tajna između klijenta i poslužitelja i koristi se kao temelj za izvođenje ključeva za šifriranje.
Dodatne informacije potražite u članku Stjecanje SMB ključa sesije.
Najčešća pitanja (najčešća pitanja)
Unazaditi se događa kada poslužitelj ili klijent ne podržava AES.
Ažurirani poslužitelji zapisit će događaje kada se koriste naslijeđeni načini uz RC4.
Trenutno nema dostupnog načina izvršenja, ali možda će u budućnosti biti. Nemamo datum.
Ako uređaj drugih proizvođača ne koristi PROTOKOL SAMR, to nije važno. Dobavljači drugih proizvođača koji implementiraju protokol MS-SAMR mogu odabrati implementaciju tog protokola. Za sva pitanja obratite se dobavljaču treće strane.
Nisu potrebne dodatne promjene.
Ovaj je protokol naslijeđe i očekujemo da je njegova upotreba vrlo niska. Naslijeđene aplikacije mogu koristiti te API-je. Uz to, neki alati servisa Active Directory, kao što su AD Korisnici i računala, MMC koriste SAMR.
ne. To utječe samo na promjene lozinke koje koriste te specifične API-je za SAMR.
Da. PBKDF2 skuplji je od RC4. Ako se na kontroleru domene istodobno pojavljuje mnogo promjena lozinki koje pozivaju API SamrUnicodeChangePasswordUser4, to može utjecati na opterećenje PROCESORA LSASS-a. Ako je potrebno, možete podesiti PBKDF2 iteracije na klijentima, no ne preporučujemo smanjenje od zadanog jer bi se time smanjila sigurnost.
Reference
Provjereno šifriranje pomoću AES-CBC i HMAC-SHA
Odricanje odgovornosti za informacije drugih proizvođača
Pružamo podatke za kontakt drugih proizvođača koji će vam pomoći da pronađete tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez prethodne obavijesti. Ne jamčimo točnost tih podataka za kontakt drugih proizvođača.