Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

BIJGEWERKT 20 maart 2023 - Sectie Beschikbaarheid

Samenvatting

Het DCOM Remote Protocol (Distributed Component Object Model) is een protocol voor het beschikbaar maken van toepassingsobjecten met behulp van RPC's (Remote Procedure Calls). DCOM wordt gebruikt voor communicatie tussen de softwareonderdelen van netwerkapparaten. Wijzigingen in beveiliging in DCOM waren vereist voor CVE-2021-26414. Daarom raden we u aan om te controleren of client- of servertoepassingen in uw omgeving die gebruikmaken van DCOM of RPC werken zoals verwacht met de wijzigingen in beveiliging ingeschakeld.

Opmerking U wordt ten zeerste aangeraden de meest recente beveiligingsupdate te installeren die beschikbaar is. Ze bieden geavanceerde beveiliging tegen de nieuwste beveiligingsrisico's. Ze bieden ook mogelijkheden die we hebben toegevoegd om migratie te ondersteunen. Zie DCOM-verificatiebeveiliging: wat u moet weten voor meer informatie en context over hoe we DCOM beveiligen.

De eerste fase van DCOM-updates is uitgebracht op 8 juni 2021. In die update was DCOM-beveiliging standaard uitgeschakeld. U kunt deze inschakelen door het register te wijzigen zoals beschreven in de sectie Registerinstelling om de wijzigingen voor het in- of uitschakelen van beveiliging in of uit te schakelen hieronder. De tweede fase van DCOM-updates is uitgebracht op 14 juni 2022. Hierdoor is de beveiliging standaard ingeschakeld, maar is de mogelijkheid behouden om de wijzigingen uit te schakelen met behulp van registersleutelinstellingen. De laatste fase van DCOM-updates wordt uitgebracht in maart 2023. Hierdoor blijft de DCOM-beveiliging ingeschakeld en wordt de mogelijkheid om deze uit te schakelen verwijderd.

Tijdlijn

Release bijwerken

Gedragswijziging

dinsdag 8 juni 2021

Release fase 1: standaard uitgeschakelde beveiliging van wijzigingen, maar met de mogelijkheid om ze in te schakelen met behulp van een registersleutel.

dinsdag 14 juni 2022

Release fase 2: standaard is het beperken van wijzigingen ingeschakeld, maar met de mogelijkheid om ze uit te schakelen met behulp van een registersleutel.

dinsdag 14 maart 2023

Release fase 3: standaard zijn de beveiliging van wijzigingen ingeschakeld, zonder dat ze kunnen worden uitgeschakeld. Op dit punt moet u eventuele compatibiliteitsproblemen met de wijzigingen in beveiliging en toepassingen in uw omgeving oplossen.

Testen op compatibiliteit met DCOM-beveiliging

Nieuwe DCOM-fout gebeurtenissen

Om u te helpen bij het identificeren van de toepassingen die mogelijk compatibiliteitsproblemen ondervinden nadat we DCOM-beveiligingsbeveiligingswijzigingen hebben ingeschakeld, hebben we nieuwe DCOM-fout gebeurtenissen toegevoegd aan het systeemlogboek. Zie de onderstaande tabellen. Het systeem zal deze gebeurtenissen registreren als wordt gedetecteerd dat een DCOM-clienttoepassing een DCOM-server probeert te activeren met behulp van een verificatieniveau dat kleiner is dan RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. U kunt vanuit het gebeurtenislogboek aan de serverzijde traceren naar het clientapparaat en gebeurtenislogboeken aan de clientzijde gebruiken om de toepassing te vinden.

Servergebeurtenissen - Aangeven dat de server aanvragen op een lager niveau ontvangt

Gebeurtenis-id

Bericht

10036

'Het beleid voor verificatieniveau op de server staat niet toe dat de gebruiker %1\%2 SID (%3) van adres %4 de DCOM-server kan activeren. Verhoog het verificatieniveau van de activering ten minste naar RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in de clienttoepassing.

(%1 – domein, %2 – gebruikersnaam, %3 – Gebruikers-SID, %4 – IP-adres van client)

Clientgebeurtenissen : geef aan welke toepassing aanvragen op een lager niveau verzendt

Gebeurtenis-id

Bericht

10037

"Toepassing %1 met PID %2 vraagt om CLSID %3 te activeren op computer %4 met expliciet verificatieniveau ingesteld op %5. Het laagste verificatieniveau voor activering dat door DCOM is vereist, is 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Als u het verificatieniveau voor activering wilt verhogen, neemt u contact op met de leverancier van de toepassing.

10038

"Toepassing %1 met PID %2 vraagt om CLSID %3 te activeren op computer %4 met standaardverificatieniveau voor activering op %5. Het laagste verificatieniveau voor activering dat door DCOM is vereist, is 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Als u het verificatieniveau voor activering wilt verhogen, neemt u contact op met de leverancier van de toepassing.

(%1 – Toepassingspad, %2 – Toepassings-PID, %3 – CLSID van de COM-klasse die de toepassing wil activeren, %4 – Computernaam, %5 – Waarde van verificatieniveau)

Beschikbaarheid

Deze fout gebeurtenissen zijn alleen beschikbaar voor een subset van Windows-versies; zie de onderstaande tabel.

Windows-versie

Beschikbaar op of na deze datums

Windows Server 2022

dinsdag 27 september 2021

KB5005619

Windows 10, versie 2004, Windows 10, versie 20H2, Windows 10, versie 21H1

dinsdag 1 september 2021

KB5005101

Windows 10, versie 1909

dinsdag 26 augustus 2021

KB5005103

Windows Server 2019, Windows 10, versie 1809

dinsdag 26 augustus 2021

KB5005102

Windows Server 2016, Windows 10 versie 1607

14 september 2021

KB5005573

Windows Server 2012 R2 en Windows 8.1

12 oktober 2021

KB5006714

Windows 11 versie 22H2

dinsdag 30 september 2022

KB5017389

Patch voor automatische uitbreiding van aanvragen aan clientzijde

Verificatieniveau voor alle niet-anonieme activeringsaanvragen

Om compatibiliteitsproblemen met apps te verminderen, hebben we het verificatieniveau voor alle niet-anonieme activeringsaanvragen van Windows-DCOM-clients automatisch verhoogd naar een minimum RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Met deze wijziging worden de meeste Op Windows gebaseerde DCOM-clientaanvragen automatisch geaccepteerd met DCOM-beveiligingswijzigingen ingeschakeld aan de serverzijde zonder verdere aanpassing aan de DCOM-client. Bovendien werken de meeste Windows DCOM-clients automatisch met DCOM-beveiligingswijzigingen aan de serverzijde zonder verdere aanpassingen aan de DCOM-client.

Opmerking Deze patch blijft opgenomen in de cumulatieve updates.

Tijdlijn voor patchupdates

Sinds de eerste release in november 2022 heeft de patch voor automatisch verhogen enkele updates gehad.

  • Update van november 2022

    • Met deze update wordt het verificatieniveau van de activering automatisch verhoogd naar pakketintegriteit. Deze wijziging is standaard uitgeschakeld op Windows Server 2016 en Windows Server 2019.

  • Update van december 2022

    • De wijziging van november is standaard ingeschakeld voor Windows Server 2016 en Windows Server 2019.

    • Deze update heeft ook een probleem opgelost dat van invloed was op anonieme activering op Windows Server 2016 en Windows Server 2019.

  • Update van januari 2023

    • Deze update heeft een probleem opgelost dat van invloed was op anonieme activering op platforms van Windows Server 2008 naar Windows 10 (eerste versie van juli 2015).

Als u de cumulatieve beveiligingsupdates vanaf januari 2023 op uw clients en servers hebt geïnstalleerd, is de nieuwste patch voor automatisch verhogen volledig ingeschakeld.

Registerinstelling voor het in- of uitschakelen van de wijzigingen in de beveiliging

Tijdens de tijdlijnfasen waarin u de beveiligingswijzigingen voor CVE-2021-26414 kunt in- of uitschakelen, kunt u de volgende registersleutel gebruiken:

  • Pad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Waardenaam: "RequireIntegrityActivationAuthenticationLevel"

  • Type: dword

  • Waardegegevens: default= 0x00000000 betekent uitgeschakeld. 0x00000001 betekent ingeschakeld. Als deze waarde niet is gedefinieerd, wordt deze standaard ingeschakeld.

Opmerking U moet waardegegevens invoeren in hexadecimale indeling.

Belangrijk U moet uw apparaat opnieuw opstarten nadat u deze registersleutel hebt ingesteld om het van kracht te laten worden.

Opmerking Als u de bovenstaande registersleutel inschakelt, dwingt DCOM-servers een Authentication-Level van RPC_C_AUTHN_LEVEL_PKT_INTEGRITY of hoger af voor activering. Dit heeft geen invloed op anonieme activering (activering met verificatieniveau RPC_C_AUTHN_LEVEL_NONE). Als de DCOM-server anonieme activering toestaat, wordt dit nog steeds toegestaan, zelfs als DCOM-beveiliging is ingeschakeld.

Opmerking Deze registerwaarde bestaat niet standaard; u moet deze maken. Windows leest deze als deze bestaat en overschrijft het niet.

Opmerking Bij installatie van latere updates worden bestaande registervermeldingen en instellingen niet gewijzigd of verwijderd.

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.