Riepilogo

Gli aggiornamenti Windows del 13 luglio 2021 e gli aggiornamenti Windows successivi aggiungono protezioni per CVE-2021-33757.

Dopo l'installazione degli aggiornamenti del Windows del 13 luglio 2021 o degli aggiornamenti successivi di Windows, la crittografia Advanced Encryption Standard (AES) sarà il metodo preferito nei client Windows quando si usa il protocollo MS-SAMR legacy per le operazioni con password se la crittografia AES è supportata dal server SAM. Se la crittografia AES non è supportata dal server SAM, sarà consentito il fallback alla crittografia RC4 legacy.

Le modifiche apportate in CVE-20201-33757 sono specifiche del protocollo MS-SAMR e sono indipendenti da altri protocolli di autenticazione. MS-SAMR usa SMB su RPC e named pipe. Anche se SMB supporta anche la crittografia, non è abilitato per impostazione predefinita. Per impostazione predefinita, le modifiche apportate in CVE-20201-33757 sono abilitate e forniscono ulteriore sicurezza al livello SAM. Non sono necessarie altre modifiche alla configurazione oltre all'installazione delle protezioni per CVE-20201-33757 incluse negli aggiornamenti di Windows del 13 luglio 2021 o in aggiornamenti Windows successivi in tutte le versioni supportate di Windows. Le versioni non supportate di Windows devono essere sospese o aggiornate a una versione supportata.

NotaCVE-2021-33757 modifica solo il modo in cui le password vengono crittografate in transito quando si usano API specifiche del protocollo MS-SAMR e in particolare NON si modifica la modalità di archiviazione delle password. Per altre informazioni su come le password vengono crittografate a riposo in Active Directory e in locale nel database SAM (Registro di sistema), vedere Panoramica delle password.

Ulteriori informazioni 

Il metodo SamrConnect5 esistente viene in genere usato per stabilire una connessione tra il client e il server SAM.

Un server aggiornato restituirà ora un nuovo bit nella risposta SamrConnect5() come definito in SAMPR_REVISION_INFO_V1

Valore

Significato

0x00000010

Alla ricezione da parte del client, questo valore, se impostato, indica che il client deve usare la crittografia AES con la struttura SAMPR_ENCRYPTED_PASSWORD_AES per crittografare i buffer delle password quando viene inviato in rete. Vedere Uso della crittografia AES (sezione 3.2.2.4)e SAMPR_ENCRYPTED_PASSWORD_AES (sezione 2.2.6.32).

Se il server aggiornato supporta AES, il client userà nuovi metodi e nuove classi di informazioni per le operazioni sulle password. Se il server non restituisce questo flag o se il client non viene aggiornato, il client torna a usare i metodi precedenti con la crittografia RC4.

Le operazioni di set di password richiedono un controller di dominio scrivibile (RWDC). Le modifiche delle password vengono inoltrate dal controller di dominio di sola lettura a un controller di dominio di sola lettura. Tutti i dispositivi devono essere aggiornati per poter usare AES. Ad esempio:

  • Se il client, il controller di dominio di sola lettura o RWDC non viene aggiornato, verrà usata la crittografia RC4.

  • Se il client, il controller di dominio di sola lettura e RWDC vengono aggiornati, verrà usata la crittografia AES.

Gli aggiornamenti del 13 luglio 2021 aggiungono quattro nuovi eventi al log di sistema per identificare i dispositivi non aggiornati e migliorare la sicurezza.

  • Stato di configurazione L'ID evento 16982 o 16983 viene registrato all'avvio o in caso di modifica della configurazione del Registro di sistema.ID evento 16982

    Log eventi

    Sistema

    Origine evento

    Directory-Services-SAM

    ID evento

    16982

    Livella

    Informazioni

    Testo del messaggio dell'evento

    Il gestore dell'account di sicurezza ora sta registrare eventi dettagliati per i client remoti che chiamano la modifica della password legacy o impostano metodi RPC. Questa impostazione può causare un numero elevato di messaggi e deve essere usata solo per un breve periodo di tempo per diagnosticare i problemi.

    ID evento 16983

    Log eventi

    Sistema

    Origine evento

    Directory-Services-SAM

    ID evento

    16983

    Livella

    Informazioni

    Testo del messaggio dell'evento

    Il gestore dell'account di sicurezza ora sta registrare eventi di riepilogo periodici per i client remoti che chiamano la modifica della password legacy o impostano metodi RPC.

  • Dopo aver applicato l'aggiornamento del 13 luglio 2021, un evento di riepilogo 16984 viene registrato nel log eventi di sistema ogni 60 minuti.ID evento 16984

    Log eventi

    Sistema

    Origine evento

    Directory-Services-SAM

    ID evento

    16984

    Livella

    Informazioni

    Testo del messaggio dell'evento

    Il gestore dell'account di sicurezza ha rilevato la modifica della password legacy %x o ha impostato chiamate al metodo RPC negli ultimi 60 minuti.

  • Dopo aver configurato la registrazione dettagliata degli eventi, l'ID evento 16985 viene registrato nel log eventi di sistema ogni volta che si usa un metodo RPC legacy per modificare o impostare la password di un account.ID evento 16985

    Log eventi

    Sistema

    Origine evento

    Directory-Services-SAM

    ID evento

    16985

    Livella

    Informazioni

    Testo del messaggio dell'evento

    L'account manager di sicurezza ha rilevato l'uso di una modifica legacy o di un metodo RPC impostato da un client di rete. Valutare l'aggiornamento del sistema operativo client o dell'applicazione per usare la versione più recente e sicura di questo metodo.

    Dettagli:

    Metodo RPC: %1

    Indirizzo di rete client: %2

    SID client: %3

    Nome utente: %4 

    Per registrare l'ID evento dettagliato 16985, attivare o disattivare il valore del Registro di sistema seguente nel server o nel controller di dominio.

    Percorso

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Digitare

    REG_DWORD

    Nome valore

    AuditLegacyPasswordRpcMethods

    Dati valore

     1 = la registrazione dettagliata è abilitata

     0 o non presente = la registrazione dettagliata è disabilitata. Solo eventi di riepilogo. (Predefinito)

Come descritto in SamrUnicodeChangePasswordUser4 (Opnum 73), quando si usa il nuovo metodo SamrUnicodeChangePasswordUser4, il client e il server useranno l'algoritmo PBKDF2 per derivare una chiave di crittografia e decrittografia dalla vecchia password in testo normale. La vecchia password è infatti l'unico segreto comune noto sia al server che al client.  

Per altre informazioni su PBKDF2, vedere Funzione BCryptDeriveKeyPBKDF2 (bcrypt.h).

Se è necessario apportare una modifica per motivi di prestazioni e sicurezza, è possibile modificare il numero di iterazioni PBKDF2 usate dal client per la modifica della password impostando il valore del Registro di sistema seguente nel client.

Nota: La riduzione del numero di iterazioni PBKDF2 ridurrà la sicurezza.  Non è consigliabile ridurre il numero rispetto all'impostazione predefinita. Tuttavia, è consigliabile usare il maggior numero possibile di iterazioni PBKDF2.

Percorso 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Digitare 

REG_DWORD 

Nome valore 

PBKDF2Iterations 

Dati valore 

Minimo da 5.000 a un massimo di 1.000.000

Valore predefinito 

10,000  

Nota: PBKDF2 non viene usato per le operazioni di impostazione delle password. Per le operazioni di impostazione delle password, la chiave di sessione SMB è il segreto condiviso tra client e server e viene usata come base per la derivazione delle chiavi di crittografia. 

Per altre informazioni, vedere Acquisizione di una chiave di sessione SMB.

Domande frequenti

Il downgrade si verifica quando il server o il client non supporta AES.   

I server aggiornati registrano gli eventi quando vengono usati metodi legacy con RC4. 

Attualmente non è disponibile alcuna modalità di applicazione, ma potrebbe esserci in futuro. Non abbiamo una data. 

Se un dispositivo di terze parti non usa il protocollo SAMR, questo non è importante. I fornitori di terze parti che implementano il protocollo MS-SAMR possono scegliere di implementare questo protocollo. Contatta il fornitore di terze parti per qualsiasi domanda. 

Non sono necessarie altre modifiche.  

Questo protocollo è legacy e prevediamo che il suo utilizzo sia molto basso. Le applicazioni legacy possono usare queste API. Inoltre, alcuni strumenti di Active Directory, ad esempio Utenti e computer di Active Directory, mmc utilizzano LAR.SAMR.

No. Sono interessate solo le modifiche delle password che usano queste API SAMR specifiche.

Sì. PBKDF2 è più costoso di RC4. Se sono presenti molte modifiche delle password che si verificano contemporaneamente nel controller di dominio che chiama l'API SamrUnicodeChangePasswordUser4, il carico della CPU di LSASS potrebbe essere interessato. Se necessario, è possibile ottimizzare le iterazioni PBKDF2 nei client, ma non è consigliabile ridurre l'impostazione predefinita in quanto ciò ridurrebbe la sicurezza.  

Riferimenti

Crittografia autenticata con AES-CBC e HMAC-SHA

Utilizzo della crittografia AES

Informazioni sulla dichiarazione di non responsabilità di terze parti 

Forniamo informazioni di contatto di terze parti per aiutarti a trovare supporto tecnico. Queste informazioni sono soggette a modifiche senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.