BIJGEWERKT 20 maart 2023 - Sectie Beschikbaarheid
Samenvatting
Het DCOM Remote Protocol (Distributed Component Object Model) is een protocol voor het beschikbaar maken van toepassingsobjecten met behulp van RPC's (Remote Procedure Calls). DCOM wordt gebruikt voor communicatie tussen de softwareonderdelen van netwerkapparaten. Wijzigingen in beveiliging in DCOM waren vereist voor CVE-2021-26414. Daarom raden we u aan om te controleren of client- of servertoepassingen in uw omgeving die gebruikmaken van DCOM of RPC werken zoals verwacht met de wijzigingen in beveiliging ingeschakeld.
Opmerking U wordt ten zeerste aangeraden de meest recente beveiligingsupdate te installeren die beschikbaar is. Ze bieden geavanceerde beveiliging tegen de nieuwste beveiligingsrisico's. Ze bieden ook mogelijkheden die we hebben toegevoegd om migratie te ondersteunen. Zie DCOM-verificatiebeveiliging: wat u moet weten voor meer informatie en context over hoe we DCOM beveiligen.
De eerste fase van DCOM-updates is uitgebracht op 8 juni 2021. In die update was DCOM-beveiliging standaard uitgeschakeld. U kunt deze inschakelen door het register te wijzigen zoals beschreven in de sectie Registerinstelling om de wijzigingen voor het in- of uitschakelen van beveiliging in of uit te schakelen hieronder. De tweede fase van DCOM-updates is uitgebracht op 14 juni 2022. Hierdoor is de beveiliging standaard ingeschakeld, maar is de mogelijkheid behouden om de wijzigingen uit te schakelen met behulp van registersleutelinstellingen. De laatste fase van DCOM-updates wordt uitgebracht in maart 2023. Hierdoor blijft de DCOM-beveiliging ingeschakeld en wordt de mogelijkheid om deze uit te schakelen verwijderd.
Tijdlijn
Release bijwerken |
Gedragswijziging |
dinsdag 8 juni 2021 |
Release fase 1: standaard uitgeschakelde beveiliging van wijzigingen, maar met de mogelijkheid om ze in te schakelen met behulp van een registersleutel. |
dinsdag 14 juni 2022 |
Release fase 2: standaard is het beperken van wijzigingen ingeschakeld, maar met de mogelijkheid om ze uit te schakelen met behulp van een registersleutel. |
dinsdag 14 maart 2023 |
Release fase 3: standaard zijn de beveiliging van wijzigingen ingeschakeld, zonder dat ze kunnen worden uitgeschakeld. Op dit punt moet u eventuele compatibiliteitsproblemen met de wijzigingen in beveiliging en toepassingen in uw omgeving oplossen. |
Testen op compatibiliteit met DCOM-beveiliging
Nieuwe DCOM-fout gebeurtenissen
Om u te helpen bij het identificeren van de toepassingen die mogelijk compatibiliteitsproblemen ondervinden nadat we DCOM-beveiligingsbeveiligingswijzigingen hebben ingeschakeld, hebben we nieuwe DCOM-fout gebeurtenissen toegevoegd aan het systeemlogboek. Zie de onderstaande tabellen. Het systeem zal deze gebeurtenissen registreren als wordt gedetecteerd dat een DCOM-clienttoepassing een DCOM-server probeert te activeren met behulp van een verificatieniveau dat kleiner is dan RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. U kunt vanuit het gebeurtenislogboek aan de serverzijde traceren naar het clientapparaat en gebeurtenislogboeken aan de clientzijde gebruiken om de toepassing te vinden.
Servergebeurtenissen - Aangeven dat de server aanvragen op een lager niveau ontvangt
Gebeurtenis-id |
Bericht |
---|---|
10036 |
'Het beleid voor verificatieniveau op de server staat niet toe dat de gebruiker %1\%2 SID (%3) van adres %4 de DCOM-server kan activeren. Verhoog het verificatieniveau van de activering ten minste naar RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in de clienttoepassing. (%1 – domein, %2 – gebruikersnaam, %3 – Gebruikers-SID, %4 – IP-adres van client) |
Clientgebeurtenissen : geef aan welke toepassing aanvragen op een lager niveau verzendt
Gebeurtenis-id |
Bericht |
---|---|
10037 |
"Toepassing %1 met PID %2 vraagt om CLSID %3 te activeren op computer %4 met expliciet verificatieniveau ingesteld op %5. Het laagste verificatieniveau voor activering dat door DCOM is vereist, is 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Als u het verificatieniveau voor activering wilt verhogen, neemt u contact op met de leverancier van de toepassing. |
10038 |
"Toepassing %1 met PID %2 vraagt om CLSID %3 te activeren op computer %4 met standaardverificatieniveau voor activering op %5. Het laagste verificatieniveau voor activering dat door DCOM is vereist, is 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Als u het verificatieniveau voor activering wilt verhogen, neemt u contact op met de leverancier van de toepassing. (%1 – Toepassingspad, %2 – Toepassings-PID, %3 – CLSID van de COM-klasse die de toepassing wil activeren, %4 – Computernaam, %5 – Waarde van verificatieniveau) |
Beschikbaarheid
Deze fout gebeurtenissen zijn alleen beschikbaar voor een subset van Windows-versies; zie de onderstaande tabel.
Windows-versie |
Beschikbaar op of na deze datums |
---|---|
Windows Server 2022 |
dinsdag 27 september 2021 |
Windows 10, versie 2004, Windows 10, versie 20H2, Windows 10, versie 21H1 |
dinsdag 1 september 2021 |
Windows 10, versie 1909 |
dinsdag 26 augustus 2021 |
Windows Server 2019, Windows 10, versie 1809 |
dinsdag 26 augustus 2021 |
Windows Server 2016, Windows 10 versie 1607 |
14 september 2021 |
Windows Server 2012 R2 en Windows 8.1 |
12 oktober 2021 |
Windows 11 versie 22H2 |
dinsdag 30 september 2022 |
Patch voor automatische uitbreiding van aanvragen aan clientzijde
Verificatieniveau voor alle niet-anonieme activeringsaanvragen
Om compatibiliteitsproblemen met apps te verminderen, hebben we het verificatieniveau voor alle niet-anonieme activeringsaanvragen van Windows-DCOM-clients automatisch verhoogd naar een minimum RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Met deze wijziging worden de meeste Op Windows gebaseerde DCOM-clientaanvragen automatisch geaccepteerd met DCOM-beveiligingswijzigingen ingeschakeld aan de serverzijde zonder verdere aanpassing aan de DCOM-client. Bovendien werken de meeste Windows DCOM-clients automatisch met DCOM-beveiligingswijzigingen aan de serverzijde zonder verdere aanpassingen aan de DCOM-client.
Opmerking Deze patch blijft opgenomen in de cumulatieve updates.
Tijdlijn voor patchupdates
Sinds de eerste release in november 2022 heeft de patch voor automatisch verhogen enkele updates gehad.
-
Update van november 2022
-
Met deze update wordt het verificatieniveau van de activering automatisch verhoogd naar pakketintegriteit. Deze wijziging is standaard uitgeschakeld op Windows Server 2016 en Windows Server 2019.
-
-
Update van december 2022
-
De wijziging van november is standaard ingeschakeld voor Windows Server 2016 en Windows Server 2019.
-
Deze update heeft ook een probleem opgelost dat van invloed was op anonieme activering op Windows Server 2016 en Windows Server 2019.
-
-
Update van januari 2023
-
Deze update heeft een probleem opgelost dat van invloed was op anonieme activering op platforms van Windows Server 2008 naar Windows 10 (eerste versie van juli 2015).
-
Als u de cumulatieve beveiligingsupdates vanaf januari 2023 op uw clients en servers hebt geïnstalleerd, is de nieuwste patch voor automatisch verhogen volledig ingeschakeld.
Registerinstelling voor het in- of uitschakelen van de wijzigingen in de beveiliging
Tijdens de tijdlijnfasen waarin u de beveiligingswijzigingen voor CVE-2021-26414 kunt in- of uitschakelen, kunt u de volgende registersleutel gebruiken:
-
Pad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Waardenaam: "RequireIntegrityActivationAuthenticationLevel"
-
Type: dword
-
Waardegegevens: default= 0x00000000 betekent uitgeschakeld. 0x00000001 betekent ingeschakeld. Als deze waarde niet is gedefinieerd, wordt deze standaard ingeschakeld.
Opmerking U moet waardegegevens invoeren in hexadecimale indeling.
Belangrijk U moet uw apparaat opnieuw opstarten nadat u deze registersleutel hebt ingesteld om het van kracht te laten worden.
Opmerking Als u de bovenstaande registersleutel inschakelt, dwingt DCOM-servers een Authentication-Level van RPC_C_AUTHN_LEVEL_PKT_INTEGRITY of hoger af voor activering. Dit heeft geen invloed op anonieme activering (activering met verificatieniveau RPC_C_AUTHN_LEVEL_NONE). Als de DCOM-server anonieme activering toestaat, wordt dit nog steeds toegestaan, zelfs als DCOM-beveiliging is ingeschakeld.
Opmerking Deze registerwaarde bestaat niet standaard; u moet deze maken. Windows leest deze als deze bestaat en overschrijft het niet.
Opmerking Bij installatie van latere updates worden bestaande registervermeldingen en instellingen niet gewijzigd of verwijderd.