ATJAUNINĀTS 2023. gada 20. marts — sadaļa Pieejamība
Kopsavilkums
Dalītais komponentu objektm modelis (DCOM) attālais protokols ir protokols, kas paredzēts, lai kāpinātājus lietojumprogrammu objektiem, izmantojot attālās procedūras izsaukumus (RPC). DCOM tiek izmantots saziņai starp tīkla ierīču programmatūras komponentiem. CVE-2021-26414 nepieciešami DCOM rūdošanas izmaiņas. Tāpēc ir ieteicams pārbaudīt, vai klienta vai servera lietojumprogrammas jūsu vidē, kas izmanto DCOM vai RPC, darbojas, kā paredzēts, ar iespējotām rūdīšanas izmaiņām.
Piezīme Ļoti ieteicams instalēt jaunāko pieejamo drošības atjauninājumu. Tie nodrošina uzlabotu aizsardzību pret jaunākajiem drošības apdraudējumiem. Tās arī nodrošina iespējas, ko esam pievienojuši, lai atbalstītu migrāciju. Papildinformāciju un kontekstu par to, kā mēs rūcām DCOM, skatiet rakstā DCOM autentifikācijas rūdīšana: kas jāzina.
DCOM atjauninājumu pirmais posms tika izlaists 2021. gada 8. jūnijā. Šajā atjauninājumā DCOM rūdīšana tika atspējota pēc noklusējuma. Varat tās iespējot, modificējot reģistru, kā aprakstīts sadaļā "Reģistra iestatījums, lai iespējotu vai atspējotu rūdīšanas izmaiņas". DCOM atjauninājumu otrais posms tika izlaists 2022. gada 14. jūnijā. Tas mainīja rūdīšanas iestatījumu uz iespējotu pēc noklusējuma, bet saglabāja iespēju atspējot izmaiņas, izmantojot reģistra atslēgu iestatījumus. DCOM atjauninājumu pēdējais posms tiks izlaists 2023. gada martā. DCOM sarūcēšana tiks iespējota, kā arī tiks noņemta iespēja to atspējot.
Laika grafiks
|
Atjaunināšanas laidiens |
Darbības izmaiņas |
|
2021. gada 8. jūnijs |
1. posms. Laidiens — stingrās izmaiņas pēc noklusējuma ir atspējotas, bet ar iespēju tās iespējot, izmantojot reģistra atslēgu. |
|
2022. gada 14. jūnijs |
2. posms. Laidiens — pēc noklusējuma ir iespējotas stingrās izmaiņas, bet ar iespēju tās atspējot, izmantojot reģistra atslēgu. |
|
2023. gada 14. marts |
3. posms Laidiens — pēc noklusējuma ir iespējotas stingrās izmaiņas bez iespējas tās atspējot. Līdz ar to ir jānovērš visas saderības problēmas ar stingrajām izmaiņām un lietojumprogrammām savā vidē. |
DCOM rūdīšanas saderības pārbaude
Jauni DCOM kļūdu notikumi
Lai palīdzētu jums noteikt lietojumprogrammas, kurām, iespējams, ir saderības problēmas pēc DCOM drošības izmaiņu iespējošanas, sistēmas žurnālā pievienojām jaunus DCOM kļūdu notikumus. Skatiet tālāk esošās tabulas. Sistēma reģistrēs šos notikumus, ja konstatē, ka DCOM klienta lietojumprogramma mēģina aktivizēt DCOM serveri, izmantojot autentifikācijas līmeni, kas ir mazāks par RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Varat izsekot līdz klienta ierīcei no servera puses notikumu žurnāla un izmantot klienta puses notikumu žurnālus, lai atrastu lietojumprogrammu.
Servera notikumi - Norādiet, ka serveris saņem zemāka līmeņa pieprasījumus
|
Notikuma ID |
Ziņojums |
|---|---|
|
10036 |
"Servera puses autentifikācijas līmeņa politika neļauj lietotājam %1\%2 SID (%3) no adreses %4 aktivizēt DCOM serveri. Lūdzu, paceliet aktivizācijas autentifikācijas līmeni vismaz, lai RPC_C_AUTHN_LEVEL_PKT_INTEGRITY lietojumprogrammā." (%1 – domēns, %2 – lietotājvārds, %3 — lietotāja SID, %4 — klienta IP adrese) |
Klienta notikumi — norādiet, kura lietojumprogramma sūta zemākā līmeņa pieprasījumus
|
Notikuma ID |
Ziņojums |
|---|---|
|
10037 |
"Lietojumprogramma %1 ar PID %2 pieprasa aktivizēt CLSID %3 datorā %4 ar tieši iestatītu autentifikācijas līmeni pie %5. Mazākais DCOM nepieciešamais aktivizācijas autentifikācijas līmenis ir 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Lai uzlabotu aktivizācijas autentifikācijas līmeni, sazinieties ar programmas piegādātāju." |
|
10038 |
"Programma %1 ar PID %2 pieprasa aktivizēt CLSID %3 datorā %4 ar noklusējuma aktivizācijas autentifikācijas līmeni pie %5. Mazākais DCOM nepieciešamais aktivizācijas autentifikācijas līmenis ir 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Lai uzlabotu aktivizācijas autentifikācijas līmeni, sazinieties ar programmas piegādātāju." (%1 — lietojumprogrammas ceļš, %2 – lietojumprogrammas PID, %3 — tās COM klases CLSID, kuru pieprasa aktivizēt, %4 – Datora nosaukums, %5 — autentifikācijas līmeņa vērtība) |
Pieejamība
Šie kļūdu notikumi ir pieejami tikai Windows versiju apakškopai. skatiet tālāko tabulu.
|
Windows versija |
Pieejams šajos datumos vai pēc tiem |
|---|---|
|
Windows Server 2022 |
2021. gada 27. septembris |
|
Windows 10, 2004, Windows 10, 20H2, Windows 10, versija 21H1 |
2021. gada 1. septembris |
|
Windows 10, versija 1909 |
2021. gada 26. augusts |
|
Windows Server 2019, Windows 10, versija 1809 |
2021. gada 26. augusts |
|
Windows Server 2016, Windows 10, versija 1607 |
2021. gada 14. septembris |
|
Windows Server 2012 R2 un Windows 8.1 |
2021. gada 12. oktobris |
|
Windows 11, versija 22H2 |
2022. gada 30. septembris |
Klienta puses pieprasījuma automātiskās pacēluma ielāps
Autentifikācijas līmenis visiem ne anonīmajiem aktivizācijas pieprasījumiem
Lai palīdzētu samazināt lietojumprogrammu saderības problēmas, esam automātiski paācuši autentifikācijas līmeni visiem ne anonīmajiem aktivizēšanas pieprasījumiem no Windows DCOM klientiem, lai RPC_C_AUTHN_LEVEL_PKT_INTEGRITY vismaz vienums. Ar šīm izmaiņām lielākā daļa Windows DCOM klienta pieprasījumu tiks automātiski akceptēti ar DCOM rūdīšanas izmaiņām, kas iespējotas servera pusē, neveicot nekādas turpmākas DCOM klienta modifikācijas. Turklāt lielākā daļa Windows DCOM klientu automātiski darbosies ar DCOM rūcīgām izmaiņām servera pusē bez jebkādām turpmākām izmaiņām DCOM klientā.
Piezīme Šis ielāps turpinās būt iekļauts kumulatīvos atjauninājumos.
Ielāpa atjaunināšanas laika grafiks
Kopš sākotnējā 2022. gada novembra laidiena automātiskais ielāps ir bijis ar dažiem atjauninājumiem.
-
2022. gada novembra atjauninājums
-
Šajā atjauninājumā automātiski tika palielināts aktivizācijas autentifikācijas līmenis pakešu integritātē. Šīs izmaiņas pēc noklusējuma ir atspējotas operētājsistēmā Windows Server 2016 un Windows Server 2019.
-
-
2022. gada decembra atjauninājums
-
Novembra izmaiņas tika iespējotas pēc noklusējuma Windows Server 2016 un Windows Server 2019.
-
Šajā atjauninājumā ir novērsta arī problēma, kas ietekmēja anonīmo aktivizēšanu sistēmā Windows Server 2016 un Windows Server 2019.
-
-
2023. gada janvāra atjauninājums
-
Šajā atjauninājumā ir novērsta problēma, kas ietekmēja anonīmo aktivizāciju platformās no Windows Server 2008 Windows 10 (sākotnējā versija, kas izlaista 2015. gada jūlijā).
-
Ja no 2023. gada janvāra jūsu klientos un serveros esat instalējis kumulatīvos drošības atjauninājumus, tiem būs pilnībā iespējots jaunākais automātiski paaugstinātais ielāps.
Reģistra iestatījums, lai iespējotu vai atspējotu rūdīšanas izmaiņas
Laika grafika fāzēs, kurās varat iespējot vai atspējot rūdīšanas izmaiņas CVE-2021-26414, varat izmantot šādu reģistra atslēgu:
-
Ceļš: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Vērtības nosaukums: "RequireIntegrityActivationAuthenticationLevel"
-
Tips: dword
-
Value Data: default= 0x00000000 means disabled. 0x00000001 nozīmē iespējots. Ja šī vērtība nav definēta, tā tiek iespējota pēc noklusējuma.
Piezīme Vērtības dati jāievada heksadecimālā formātā.
Svarīgi Lai šī reģistra atslēga stāsies spēkā, pēc ierīces iestatīšanas tā ir jārestartē.
Piezīme Iespējojot iepriekš minēto reģistra atslēgu, DCOM serveri īsteno Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY versiju vai jaunāku versiju aktivizācijai. Tas neietekmē anonīmu aktivizēšanu (aktivizācija, izmantojot autentifikācijas līmeni RPC_C_AUTHN_LEVEL_NONE). Ja DCOM serveris atļauj anonīmu aktivizēšanu, tā joprojām tiks atļauta pat tad, ja ir iespējotas DCOM rūdīšanas izmaiņas.
Piezīme Šī reģistra vērtība pēc noklusējuma nepastāv. kas ir jāizveido. Operētājsistēma Windows to nolasīs, ja tāda pastāv, un to nepārraksta.
Piezīme Jaunāko atjauninājumu instalēšana nemainīsies un nenoņems esošos reģistra ierakstus un iestatījumus.
