Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

ULTIMO AGGIORNAMENTO 20 marzo 2023 - Sezione Disponibilità

Riassunto

DCOM (Distributed Component Object Model) Remote Protocol (DCOM) è un protocollo per l'esposizione di oggetti applicazione tramite remote procedure call (RPC). DCOM viene utilizzato per la comunicazione tra i componenti software dei dispositivi in rete. Per il CVE-2021-26414 erano necessarie modifiche di protezione avanzata in DCOM. Pertanto, è consigliabile verificare se le applicazioni client o server nel proprio ambiente che utilizzano DCOM o RPC funzionano come previsto con la protezione avanzata delle modifiche abilitata.

Nota Ti consigliamo vivamente di installare l'ultimo aggiornamento della sicurezza disponibile. Offrono protezioni avanzate dalle minacce alla sicurezza più recenti. Forniscono anche funzionalità che sono state aggiunte per supportare la migrazione. Per ulteriori informazioni e contesto su come viene avanzata la protezione avanzata DCOM, vedere Protezione avanzata dell'autenticazione DCOM: informazioni utili.

La prima fase degli aggiornamenti DCOM è stata rilasciata l'8 giugno 2021. In questo aggiornamento la protezione avanzata DCOM è stata disabilitata per impostazione predefinita. È possibile abilitarle modificando il Registro di sistema come descritto nella sezione "Impostazione del Registro di sistema per abilitare o disabilitare la protezione avanzata delle modifiche" riportata di seguito. La seconda fase degli aggiornamenti DCOM è stata rilasciata il 14 giugno 2022. In questo modo la protezione avanzata è stata abilitata per impostazione predefinita, ma è stata mantenuta la possibilità di disabilitare le modifiche usando le impostazioni della chiave del Registro di sistema. La fase finale degli aggiornamenti DCOM verrà rilasciata a marzo 2023. Mantiene abilitata la protezione avanzata DCOM e rimuove la possibilità di disabilitarla.

Sequenza temporale

Versione di aggiornamento

Modifica del comportamento

8 giugno 2021

Fase 1 rilascio: la protezione avanzata viene disabilitata per impostazione predefinita, ma con la possibilità di abilitarle usando una chiave del Registro di sistema.

14 giugno 2022

Fase di rilascio 2 : la protezione avanzata delle modifiche è abilitata per impostazione predefinita, ma con la possibilità di disabilitarle usando una chiave del Registro di sistema.

14 marzo 2023

Fase di rilascio 3: la protezione avanzata delle modifiche è abilitata per impostazione predefinita senza la possibilità di disabilitarle. A questo punto, è necessario risolvere eventuali problemi di compatibilità con le modifiche di protezione avanzata e le applicazioni nel proprio ambiente.

Test della compatibilità di protezione avanzata DCOM

Nuovi eventi di errore DCOM

Per facilitare l'identificazione delle applicazioni che potrebbero avere problemi di compatibilità dopo l'abilitazione delle modifiche alla protezione avanzata DCOM, sono stati aggiunti nuovi eventi di errore DCOM nel registro di sistema. Vedere le tabelle seguenti. Il sistema registrerà questi eventi se rileva che un'applicazione client DCOM sta tentando di attivare un server DCOM utilizzando un livello di autenticazione minore di RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. È possibile individuare il dispositivo client dal registro eventi sul lato server e usare i registri eventi lato client per trovare l'applicazione.

Eventi server - Indicare che il server sta ricevendo richieste di livello inferiore

ID evento

Messaggio

10036

"Il criterio a livello di autenticazione sul lato server non consente all'utente %1\%2 SID (%3) dall'indirizzo %4 di attivare il server DCOM. Aumenta il livello di autenticazione di attivazione almeno per RPC_C_AUTHN_LEVEL_PKT_INTEGRITY nell'applicazione client".

(%1 – dominio, %2 – nome utente, %3 – SID utente, %4 – Indirizzo IP client)

Eventi client : indica quale applicazione invia richieste di livello inferiore

ID evento

Messaggio

10037

"L'applicazione %1 con PID %2 richiede di attivare CLSID %3 nel computer %4 con il livello di autenticazione impostato esplicitamente su %5. Il livello di autenticazione di attivazione più basso richiesto da DCOM è 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Per aumentare il livello di autenticazione di attivazione, contatta il fornitore dell'applicazione".

10038

"L'applicazione %1 con PID %2 richiede l'attivazione di CLSID %3 nel computer %4 con livello di autenticazione di attivazione predefinito a %5. Il livello di autenticazione di attivazione più basso richiesto da DCOM è 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Per aumentare il livello di autenticazione di attivazione, contatta il fornitore dell'applicazione".

(%1 – Application Path, %2 – Application PID, %3 – CLSID della classe COM richiesta dall'applicazione per l'attivazione, %4 – Computer Name, %5 – Value of Authentication Level)

Disponibilità

Questi eventi di errore sono disponibili solo per un sottoinsieme di versioni di Windows. vedere la tabella seguente.

Versione di Windows

Disponibile in data o dopo tali date

Windows Server 2022

27 settembre 2021

KB5005619

Windows 10, versione 2004, Windows 10, versione 20H2, Windows 10, versione 21H1

1 settembre 2021

KB5005101

Windows 10, versione 1909

26 agosto 2021

KB5005103

Windows Server 2019, Windows 10, versione 1809

26 agosto 2021

KB5005102

Windows Server 2016, Windows 10, versione 1607

14 settembre 2021

KB5005573

Windows Server 2012 R2 e Windows 8.1

12 ottobre 2021

KB5006714

Windows 11, versione 22H2

30 settembre 2022

KB5017389

Patch di elevazione automatica delle richieste lato client

Livello di autenticazione per tutte le richieste di attivazione non anonime

Per ridurre i problemi di compatibilità delle app, abbiamo automaticamente elevato il livello di autenticazione per tutte le richieste di attivazione non anonime dai client DCOM basati su Windows per RPC_C_AUTHN_LEVEL_PKT_INTEGRITY al minimo. Con questa modifica, la maggior parte delle richieste client DCOM basate su Windows verrà accettata automaticamente con la protezione avanzata DCOM abilitata sul lato server senza ulteriori modifiche al client DCOM. Inoltre, la maggior parte dei client DCOM di Windows funzionerà automaticamente con le modifiche di protezione avanzata DCOM sul lato server senza ulteriori modifiche al client DCOM.

Nota Questa patch continuerà a essere inclusa negli aggiornamenti cumulativi.

Sequenza temporale dell'aggiornamento delle patch

Dal rilascio iniziale nel novembre 2022, la patch di elevazione automatica ha avuto alcuni aggiornamenti.

  • Aggiornamento di novembre 2022

    • Questo aggiornamento ha automaticamente elevato il livello di autenticazione di attivazione all'integrità dei pacchetti. Questa modifica è stata disabilitata per impostazione predefinita in Windows Server 2016 e Windows Server 2019.

  • Aggiornamento di dicembre 2022

    • La modifica di novembre è stata abilitata per impostazione predefinita per Windows Server 2016 e Windows Server 2019.

    • Questo aggiornamento ha anche risolto un problema che interessava l'attivazione anonima in Windows Server 2016 e Windows Server 2019.

  • Aggiornamento di gennaio 2023

    • Questo aggiornamento ha risolto un problema che interessava l'attivazione anonima su piattaforme da Windows Server 2008 a Windows 10 (versione iniziale rilasciata a luglio 2015).

Se sono stati installati gli aggiornamenti cumulativi della sicurezza a partire da gennaio 2023 nei client e nei server, questi avranno la patch di elevazione automatica più recente completamente abilitata.

Impostazione del Registro di sistema per abilitare o disabilitare la protezione avanzata delle modifiche

Durante le fasi della sequenza temporale in cui è possibile abilitare o disabilitare le modifiche di protezione avanzata per CVE-2021-26414, è possibile usare la chiave del Registro di sistema seguente:

  • Percorso: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Nome valore: "RequireIntegrityActivationAuthenticationLevel"

  • Tipo: dword

  • Dati valore: default= 0x00000000 significa disabilitata. 0x00000001 significa abilitato. Se questo valore non è definito, verrà abilitato per impostazione predefinita.

Nota È necessario immettere Dati valore in formato esadecimale.

Importante Per rendere effettiva questa chiave del Registro di sistema, è necessario riavviare il dispositivo.

Nota Abilitando la chiave del Registro di sistema precedente, i server DCOM applicano un Authentication-Level di RPC_C_AUTHN_LEVEL_PKT_INTEGRITY o superiore per l'attivazione. Questo non influisce sull'attivazione anonima (attivazione a livello di autenticazione RPC_C_AUTHN_LEVEL_NONE). Se il server DCOM consente l'attivazione anonima, sarà comunque consentito anche con le modifiche di protezione avanzata DCOM abilitate.

Nota Questo valore del Registro di sistema non esiste per impostazione predefinita; devi crearla. Windows lo leggerà se esiste e non lo sovrascriverà.

Nota L'installazione di aggiornamenti successivi non modificherà né rimuoverà le voci e le impostazioni del Registro di sistema esistenti.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.