Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

ATNAUJINTA 2023 m. kovo 20 d. – pasiekiamumo skyrius

Suvestinė

Paskirstyto komponento objektų modelio (DCOM) nuotolinis protokolas yra programos objektų kūrimo naudojant nuotolinį procedūros iškvietimą (RPC) protokolas. DCOM naudojamas ryšiui tarp tinklo įrenginių programinės įrangos komponentų. Cve-2021-26414 buvo būtini DCOM keitimų sukietėjimo pakeitimai. Todėl rekomenduojame patikrinti, ar kliento ar serverio programos jūsų aplinkoje, kurios naudoja DCOM arba RPC, veikia taip, kaip tikėtasi, kai įjungti sukietinimo pakeitimai.

Pastaba Primygtinai rekomenduojame įdiegti naujausią pasiekiamą saugos naujinimą. Jos teikia išplėstinę apsaugą nuo naujausių saugos grėsmių. Jos taip pat teikia galimybes, kurias įtraukėme, kad palaikytume perkėlimą. Jei reikia daugiau informacijos ir konteksto apie tai, kaip mes sustigiame DCOM, žr . DCOM autentifikavimo sustigrinimas: ką reikia žinoti.

Pirmasis DCOM naujinimų etapas buvo išleistas 2021 m. birželio 8 d. Tame naujinime DCOM sukietinimas buvo išjungtas pagal numatytuosius parametrus. Jas galite įjungti modifikuodami registrą, kaip aprašyta tolesnėje dalyje "Registro parametras, skirtas įjungti arba išjungti sukietinimo pakeitimus". Antrasis DCOM naujinimų etapas buvo išleistas 2022 m. birželio 14 d. Dėl to pagal numatytuosius parametrus buvo pakeistas sustigrinimas į įgalintas, bet išsaugoma galimybė išjungti pakeitimus naudojant registro rakto parametrus. Galutinis DCOM naujinimų etapas bus išleistas 2023 m. kovo mėn. DCOM sukietėjimas bus įgalintas ir bus pašalinta galimybė jį išjungti.

Laiko planavimo juosta

Naujinimo leidimas

Veikimo būdo keitimas

2021 m. birželio 8 d.

1 fazės leidimas – pagal numatytuosius parametrus išjungti sukietėjimo keitimai, bet galimybė juos įgalinti naudojant registro raktą.

2022 m. birželio 14 d.

2 fazės leidimas – pagal numatytuosius nustatymus įgalinti sukietinimo pakeitimai, bet galimybė juos išjungti naudojant registro raktą.

2023 m. kovo 14 d.

3 fazės leidimas – pagal numatytuosius parametrus įgalintų keitimų sukietinimas be galimybės juos išjungti. Šiuo metu turite išspręsti visas suderinamumo problemas, susijusias su aplinkos pakeitimų ir programų sustiprinimas.

DCOM sukietinimo suderinamumo tikrinimas

Nauji DCOM klaidų įvykiai

Kad būtų lengviau nustatyti programas, kurios gali turėti suderinamumo problemų, kai įgaliname DCOM saugos sustiprinimo pakeitimus, sistemos žurnale įtraukėme naujų DCOM klaidų įvykių. Žr. toliau pateiktas lenteles. Sistema užregistruos šiuos įvykius, jei aptiks, kad DCOM kliento programa bando aktyvinti DCOM serverį naudodama autentifikavimo lygį, mažesnį nei RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Galite sekti kliento įrenginį iš serverio įvykių žurnalo ir naudoti kliento įvykių žurnalus programai rasti.

Serverio įvykiai – Nurodyti, kad serveris gauna žemesnio lygio užklausas

Įvykio ID

Pranešimas

10036

"Serverio autentifikavimo lygio strategija neleidžia vartotojui %1\%2 SID (%3) iš adreso %4 aktyvinti DCOM serverio. Padidinkite aktyvinimo autentifikavimo lygį bent iki RPC_C_AUTHN_LEVEL_PKT_INTEGRITY kliento programoje."

(%1 – domenas, %2 – vartotojo vardas, %3 – vartotojo SID, %4 – kliento IP adresas)

Kliento įvykiai – nurodo, kuri programa siunčia žemesnio lygio užklausas

Įvykio ID

Pranešimas

10037

"Programa %1 su PID %2 prašo aktyvinti CLSID %3 kompiuteryje %4 su aiškiai nustatytu autentifikavimo lygiu %5. Mažiausias aktyvinimo autentifikavimo lygis, kurio reikia DCOM, yra 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Norėdami padidinti aktyvinimo autentifikavimo lygį, kreipkitės į programos tiekėją."

10038

"Programa %1 su PID %2 prašo aktyvinti CLSID %3 kompiuteryje %4 su numatytuoju aktyvinimo autentifikavimo lygiu %5. Mažiausias aktyvinimo autentifikavimo lygis, kurio reikia DCOM, yra 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Norėdami padidinti aktyvinimo autentifikavimo lygį, kreipkitės į programos tiekėją."

(%1 – programos kelias, %2 – taikomosios programos PID, %3 – COM klasės, kurią prašo aktyvinti, CLSID, %4 – kompiuterio vardas, %5 – autentifikavimo lygio reikšmė)

Prieinamumą

Šie klaidų įvykiai galimi tik "Windows" versijų pogrupiui; žr. toliau pateiktą lentelę.

„Windows“ versija

Galima naudoti šias datas arba vėliau

Windows Server 2022

2021 m. rugsėjo 27 d.

KB5005619

Windows 10, 2004, Windows 10, 20H2 versija, Windows 10, 21H1 versija

2021 m. rugsėjo 1 d.

KB5005101

„Windows 10“ 1909 versija

2021 m. rugpjūčio 26 d.

KB5005103

"Windows Server 2019", Windows 10, 1809 versija

2021 m. rugpjūčio 26 d.

KB5005102

"Windows Server 2016", Windows 10, 1607 versija

2021 m. rugsėjo 14 d.

KB5005573

"Windows Server 2012 R2" ir ""Windows 8".1"

2021 m. spalio 12 d.

KB5006714

Windows 11, 22H2 versija

2022 m. rugsėjo 30 d.

KB5017389

Kliento pusės užklausos automatinio padidinimo pataisa

Autentifikavimo lygis visoms ne anoniminėms aktyvinimo užklausoms

Siekdami sumažinti programėlių suderinamumo problemas, automatiškai padidinome visų ne anoniminių aktyvinimo užklausų iš "Windows" DCOM klientų autentifikavimo lygį, kad RPC_C_AUTHN_LEVEL_PKT_INTEGRITY bent. Atlikus šį pakeitimą, dauguma "Windows" pagrįstų DCOM klientų užklausų bus automatiškai priimamos, kai serverio pusėje įjungti DCOM sukietinimo pakeitimai be jokių papildomų DCOM kliento pakeitimų. Be to, dauguma "Windows" DCOM klientų automatiškai veiks su DCOM sustifravus keitimus serverio pusėje, ir DCOM klientui nebus papildomai modifikuota.

Pastaba Ši pataisa ir toliau bus įtraukta į kaupiamuosius naujinimus.

Pataisų naujinimo laiko planavimo juosta

Nuo pradinio išleidimo 2022 m. lapkričio mėn., automatinio didesnių teisių pataisoje buvo keli naujinimai.

  • 2022 m. lapkričio mėn. naujinimas

    • Šis naujinimas automatiškai pakelė aktyvinimo autentifikavimo lygį iki paketo vientisumo. Šis pakeitimas buvo išjungtas pagal numatytuosius parametrus "Windows Server 2016" ir "Windows Server 2019".

  • 2022 m. gruodžio mėn. naujinimas

    • Lapkričio mėn. keitimas buvo įgalintas pagal numatytuosius parametrus "Windows Server 2016" ir "Windows Server 2019".

    • Šis naujinimas taip pat išsprendžia problemą, kuri turėjo įtakos anoniminio aktyvinimo "Windows Server 2016" ir "Windows Server 2019".

  • 2023 m. sausio mėn. naujinimas

    • Šis naujinimas išsprendė problemą, kuri turėjo įtakos anoniminio aktyvinimo platformose iš "Windows Server 2008" į "Windows 10" (pradinė versija, išleista 2015 m. liepos mėn.).

Jei savo klientuose ir serveriuose įdiegėte kaupiamuosius saugos naujinimus nuo 2023 m. sausio mėn., jie turės naujausią automatinio didesnių teisių pataisą, visiškai įjungtą.

Registro parametras, skirtas įjungti arba išjungti sukietinimo pakeitimus

Laiko planavimo juostos etapais, kai galite įjungti arba išjungti CVE-2021-26414 griežinimo pakeitimus, galite naudoti šį registro raktą:

  • Kelias: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Reikšmės pavadinimas: "RequireIntegrityActivationAuthenticationLevel"

  • Tipas: dword

  • Reikšmės duomenys: numatytoji = 0x00000000 reiškia išjungta. 0x00000001 reiškia įgalintą. Jei ši reikšmė neapibrėžta, ji bus įjungta pagal numatytuosius parametrus.

Pastaba Reikšmės duomenis turite įvesti šešioliktainiu formatu.

Svarbu Nustatę šį registro raktą, turite iš naujo paleisti įrenginį, kad jis įsigaliotų.

Pastaba Įgalinus aukščiau pateiktą registro raktą, DCOM serveriai įgalins aktyvinimui Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY arba naujesnę versiją. Tai neturi įtakos anoniminiams aktyvinimams (aktyvinimas naudojant autentifikavimo lygį RPC_C_AUTHN_LEVEL_NONE). Jei DCOM serveris leidžia anoniminį aktyvinimą, jis vis tiek bus leidžiamas net įgalinus DCOM sukietinimo pakeitimus.

Pastaba Šios registro reikšmės pagal numatytuosius nustatymus nėra; turite jį sukurti. "Windows" ją perskaitys, jei ji yra, ir jos neperrašys.

Pastaba Įdiegus vėlesnius naujinimus, esami registro įrašai ir parametrai nebus nei keičiami, nei pašalinami.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.