ULTIMO AGGIORNAMENTO 20 marzo 2023 - Sezione Disponibilità
Riassunto
DCOM (Distributed Component Object Model) Remote Protocol (DCOM) è un protocollo per l'esposizione di oggetti applicazione tramite remote procedure call (RPC). DCOM viene utilizzato per la comunicazione tra i componenti software dei dispositivi in rete. Per il CVE-2021-26414 erano necessarie modifiche di protezione avanzata in DCOM. Pertanto, è consigliabile verificare se le applicazioni client o server nel proprio ambiente che utilizzano DCOM o RPC funzionano come previsto con la protezione avanzata delle modifiche abilitata.
Nota Ti consigliamo vivamente di installare l'ultimo aggiornamento della sicurezza disponibile. Offrono protezioni avanzate dalle minacce alla sicurezza più recenti. Forniscono anche funzionalità che sono state aggiunte per supportare la migrazione. Per ulteriori informazioni e contesto su come viene avanzata la protezione avanzata DCOM, vedere Protezione avanzata dell'autenticazione DCOM: informazioni utili.
La prima fase degli aggiornamenti DCOM è stata rilasciata l'8 giugno 2021. In questo aggiornamento la protezione avanzata DCOM è stata disabilitata per impostazione predefinita. È possibile abilitarle modificando il Registro di sistema come descritto nella sezione "Impostazione del Registro di sistema per abilitare o disabilitare la protezione avanzata delle modifiche" riportata di seguito. La seconda fase degli aggiornamenti DCOM è stata rilasciata il 14 giugno 2022. In questo modo la protezione avanzata è stata abilitata per impostazione predefinita, ma è stata mantenuta la possibilità di disabilitare le modifiche usando le impostazioni della chiave del Registro di sistema. La fase finale degli aggiornamenti DCOM verrà rilasciata a marzo 2023. Mantiene abilitata la protezione avanzata DCOM e rimuove la possibilità di disabilitarla.
Sequenza temporale
Versione di aggiornamento |
Modifica del comportamento |
8 giugno 2021 |
Fase 1 rilascio: la protezione avanzata viene disabilitata per impostazione predefinita, ma con la possibilità di abilitarle usando una chiave del Registro di sistema. |
14 giugno 2022 |
Fase di rilascio 2 : la protezione avanzata delle modifiche è abilitata per impostazione predefinita, ma con la possibilità di disabilitarle usando una chiave del Registro di sistema. |
14 marzo 2023 |
Fase di rilascio 3: la protezione avanzata delle modifiche è abilitata per impostazione predefinita senza la possibilità di disabilitarle. A questo punto, è necessario risolvere eventuali problemi di compatibilità con le modifiche di protezione avanzata e le applicazioni nel proprio ambiente. |
Test della compatibilità di protezione avanzata DCOM
Nuovi eventi di errore DCOM
Per facilitare l'identificazione delle applicazioni che potrebbero avere problemi di compatibilità dopo l'abilitazione delle modifiche alla protezione avanzata DCOM, sono stati aggiunti nuovi eventi di errore DCOM nel registro di sistema. Vedere le tabelle seguenti. Il sistema registrerà questi eventi se rileva che un'applicazione client DCOM sta tentando di attivare un server DCOM utilizzando un livello di autenticazione minore di RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. È possibile individuare il dispositivo client dal registro eventi sul lato server e usare i registri eventi lato client per trovare l'applicazione.
Eventi server - Indicare che il server sta ricevendo richieste di livello inferiore
ID evento |
Messaggio |
---|---|
10036 |
"Il criterio a livello di autenticazione sul lato server non consente all'utente %1\%2 SID (%3) dall'indirizzo %4 di attivare il server DCOM. Aumenta il livello di autenticazione di attivazione almeno per RPC_C_AUTHN_LEVEL_PKT_INTEGRITY nell'applicazione client". (%1 – dominio, %2 – nome utente, %3 – SID utente, %4 – Indirizzo IP client) |
Eventi client : indica quale applicazione invia richieste di livello inferiore
ID evento |
Messaggio |
---|---|
10037 |
"L'applicazione %1 con PID %2 richiede di attivare CLSID %3 nel computer %4 con il livello di autenticazione impostato esplicitamente su %5. Il livello di autenticazione di attivazione più basso richiesto da DCOM è 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Per aumentare il livello di autenticazione di attivazione, contatta il fornitore dell'applicazione". |
10038 |
"L'applicazione %1 con PID %2 richiede l'attivazione di CLSID %3 nel computer %4 con livello di autenticazione di attivazione predefinito a %5. Il livello di autenticazione di attivazione più basso richiesto da DCOM è 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Per aumentare il livello di autenticazione di attivazione, contatta il fornitore dell'applicazione". (%1 – Application Path, %2 – Application PID, %3 – CLSID della classe COM richiesta dall'applicazione per l'attivazione, %4 – Computer Name, %5 – Value of Authentication Level) |
Disponibilità
Questi eventi di errore sono disponibili solo per un sottoinsieme di versioni di Windows. vedere la tabella seguente.
Versione di Windows |
Disponibile in data o dopo tali date |
---|---|
Windows Server 2022 |
27 settembre 2021 |
Windows 10, versione 2004, Windows 10, versione 20H2, Windows 10, versione 21H1 |
1 settembre 2021 |
Windows 10, versione 1909 |
26 agosto 2021 |
Windows Server 2019, Windows 10, versione 1809 |
26 agosto 2021 |
Windows Server 2016, Windows 10, versione 1607 |
14 settembre 2021 |
Windows Server 2012 R2 e Windows 8.1 |
12 ottobre 2021 |
Windows 11, versione 22H2 |
30 settembre 2022 |
Patch di elevazione automatica delle richieste lato client
Livello di autenticazione per tutte le richieste di attivazione non anonime
Per ridurre i problemi di compatibilità delle app, abbiamo automaticamente elevato il livello di autenticazione per tutte le richieste di attivazione non anonime dai client DCOM basati su Windows per RPC_C_AUTHN_LEVEL_PKT_INTEGRITY al minimo. Con questa modifica, la maggior parte delle richieste client DCOM basate su Windows verrà accettata automaticamente con la protezione avanzata DCOM abilitata sul lato server senza ulteriori modifiche al client DCOM. Inoltre, la maggior parte dei client DCOM di Windows funzionerà automaticamente con le modifiche di protezione avanzata DCOM sul lato server senza ulteriori modifiche al client DCOM.
Nota Questa patch continuerà a essere inclusa negli aggiornamenti cumulativi.
Sequenza temporale dell'aggiornamento delle patch
Dal rilascio iniziale nel novembre 2022, la patch di elevazione automatica ha avuto alcuni aggiornamenti.
-
Aggiornamento di novembre 2022
-
Questo aggiornamento ha automaticamente elevato il livello di autenticazione di attivazione all'integrità dei pacchetti. Questa modifica è stata disabilitata per impostazione predefinita in Windows Server 2016 e Windows Server 2019.
-
-
Aggiornamento di dicembre 2022
-
La modifica di novembre è stata abilitata per impostazione predefinita per Windows Server 2016 e Windows Server 2019.
-
Questo aggiornamento ha anche risolto un problema che interessava l'attivazione anonima in Windows Server 2016 e Windows Server 2019.
-
-
Aggiornamento di gennaio 2023
-
Questo aggiornamento ha risolto un problema che interessava l'attivazione anonima su piattaforme da Windows Server 2008 a Windows 10 (versione iniziale rilasciata a luglio 2015).
-
Se sono stati installati gli aggiornamenti cumulativi della sicurezza a partire da gennaio 2023 nei client e nei server, questi avranno la patch di elevazione automatica più recente completamente abilitata.
Impostazione del Registro di sistema per abilitare o disabilitare la protezione avanzata delle modifiche
Durante le fasi della sequenza temporale in cui è possibile abilitare o disabilitare le modifiche di protezione avanzata per CVE-2021-26414, è possibile usare la chiave del Registro di sistema seguente:
-
Percorso: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Nome valore: "RequireIntegrityActivationAuthenticationLevel"
-
Tipo: dword
-
Dati valore: default= 0x00000000 significa disabilitata. 0x00000001 significa abilitato. Se questo valore non è definito, verrà abilitato per impostazione predefinita.
Nota È necessario immettere Dati valore in formato esadecimale.
Importante Per rendere effettiva questa chiave del Registro di sistema, è necessario riavviare il dispositivo.
Nota Abilitando la chiave del Registro di sistema precedente, i server DCOM applicano un Authentication-Level di RPC_C_AUTHN_LEVEL_PKT_INTEGRITY o superiore per l'attivazione. Questo non influisce sull'attivazione anonima (attivazione a livello di autenticazione RPC_C_AUTHN_LEVEL_NONE). Se il server DCOM consente l'attivazione anonima, sarà comunque consentito anche con le modifiche di protezione avanzata DCOM abilitate.
Nota Questo valore del Registro di sistema non esiste per impostazione predefinita; devi crearla. Windows lo leggerà se esiste e non lo sovrascriverà.
Nota L'installazione di aggiornamenti successivi non modificherà né rimuoverà le voci e le impostazioni del Registro di sistema esistenti.