Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

ZAKTUALIZOWANO 20 marca 2023 r. — sekcja Dostępność

Podsumowanie

Protokół Remote Protocol Dcom (Distributed Component Object Model) jest protokołem umożliwiającym ujawnianie obiektów aplikacji przy użyciu zdalnych wywołań procedur (RPC). DCOM służy do komunikacji między składnikami oprogramowania urządzeń sieciowych. Zmiany stwardnienia w DCOM były wymagane dla CVE-2021-26414. Dlatego zalecamy sprawdzenie, czy aplikacje klienckie lub serwerowe w środowisku korzystające z dcom lub RPC działają zgodnie z oczekiwaniami z włączonymi zmianami hartowania.

Uwaga Zdecydowanie zalecamy zainstalowanie najnowszej dostępnej aktualizacji zabezpieczeń. Zapewniają one zaawansowane zabezpieczenia przed najnowszymi zagrożeniami bezpieczeństwa. Udostępniają również funkcje dodane do obsługi migracji. Aby uzyskać więcej informacji i kontekstu na temat hartowania dcom, zobacz Zaostrzenie uwierzytelniania DCOM: co należy wiedzieć.

Pierwsza faza aktualizacji DCOM została wydana 8 czerwca 2021 r. W tej aktualizacji hartowanie dcom zostało domyślnie wyłączone. Można je włączyć, modyfikując rejestr zgodnie z opisem w sekcji "Ustawienie rejestru, aby włączyć lub wyłączyć zmiany hartowania" poniżej. Druga faza aktualizacji DCOM została wydana 14 czerwca 2022 r. To zmieniło hartowanie domyślnie włączone, ale zachowało możliwość wyłączenia zmian przy użyciu ustawień klucza rejestru. Ostatnia faza aktualizacji DCOM zostanie wydana w marcu 2023 r. Zachowa ono włączone hartowanie DCOM i usunie możliwość jego wyłączenia.

Oś czasu

Aktualizacja wersji

Zmiana zachowania

8 czerwca 2021 r.

Etap 1 Zwolnienie — zmiany hartowania są domyślnie wyłączone, ale z możliwością włączenia ich przy użyciu klucza rejestru.

14 czerwca 2022 r.

Faza 2 Zwolnienie — wyłączanie zmian domyślnie włączone, ale z możliwością ich wyłączenia przy użyciu klucza rejestru.

14 marca 2023 r.

Etap 3 Zwolnienie — zmiany hartowania są domyślnie włączone bez możliwości ich wyłączenia. Do tego momentu należy rozwiązać wszelkie problemy ze zgodnością związane ze zmianami stwardnienia i aplikacjami w środowisku.

Testowanie zgodności z zabezpieczeniami dcom

Nowe zdarzenia błędu DCOM

Aby ułatwić identyfikowanie aplikacji, które mogą mieć problemy ze zgodnością po włączeniu zmian zaostrzania zabezpieczeń DCOM, dodaliśmy nowe zdarzenia błędów DCOM w dzienniku systemowym. Zobacz poniższe tabele. System zarejestruje te zdarzenia, jeśli wykryje, że aplikacja kliencka DCOM próbuje aktywować serwer DCOM przy użyciu poziomu uwierzytelniania mniejszego niż RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Możesz prześledzić do urządzenia klienckiego z dziennika zdarzeń po stronie serwera i użyć dzienników zdarzeń po stronie klienta, aby znaleźć aplikację.

Zdarzenia serwera — Wskazywanie, że serwer otrzymuje żądania niższego poziomu

Identyfikator zdarzenia

Komunikat

10036

"Zasady poziomu uwierzytelniania po stronie serwera nie zezwalają użytkownikowi %1\%2 SID (%3) z adresu %4 na aktywowanie serwera DCOM. Podnieś poziom uwierzytelniania aktywacji przynajmniej, aby RPC_C_AUTHN_LEVEL_PKT_INTEGRITY w aplikacji klienckiej".

(%1 — domena, %2 — nazwa użytkownika, %3 — User SID, %4 — Adres IP klienta)

Zdarzenia klienta — oznaczanie, która aplikacja wysyła żądania niższego poziomu

Identyfikator zdarzenia

Komunikat

10037

"Aplikacja %1 z identyfikatorem PID %2 żąda aktywowania identyfikatora CLSID %3 na komputerze %4 z jawnie ustawionym poziomem uwierzytelniania na poziomie %5. Najniższy poziom uwierzytelniania aktywacji wymagany przez dcom wynosi 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aby podnieść poziom uwierzytelniania aktywacji, skontaktuj się z dostawcą aplikacji".

10038

"Aplikacja %1 z identyfikatorem PID %2 żąda aktywowania identyfikatora CLSID %3 na komputerze %4 z domyślnym poziomem uwierzytelniania aktywacji na poziomie %5. Najniższy poziom uwierzytelniania aktywacji wymagany przez dcom wynosi 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aby podnieść poziom uwierzytelniania aktywacji, skontaktuj się z dostawcą aplikacji".

(%1 — Ścieżka aplikacji, %2 — Identyfikator PID aplikacji, %3 – CLSID klasy COM, o którą aplikacja żąda aktywowania, %4 — Nazwa komputera, %5 — wartość poziomu uwierzytelniania)

Dostępność

Te zdarzenia błędów są dostępne tylko dla podzestawu wersji systemu Windows. zobacz poniższą tabelę.

Wersja systemu Windows

Dostępne w tych datach lub później

Windows Server 2022

27 września 2021 r.

KB5005619

Windows 10, wersja 2004, Windows 10, wersja 20H2, Windows 10, wersja 21H1

1 września 2021 r.

KB5005101

Windows 10 w wersji 1909

26 sierpnia 2021 r.

KB5005103

Windows Server 2019, Windows 10, wersja 1809

26 sierpnia 2021 r.

KB5005102

Windows Server 2016, Windows 10, wersja 1607

14 września 2021 r.

KB5005573

Windows Server 2012 R2 i Windows 8.1

12 października 2021 r.

KB5006714

Windows 11, wersja 22H2

30 września 2022 r.

KB5017389

Poprawka automatycznego podwyższenia żądania po stronie klienta

Poziom uwierzytelniania dla wszystkich nie anonimowych żądań aktywacji

Aby ograniczyć problemy ze zgodnością aplikacji, automatycznie podnieśliśmy poziom uwierzytelniania dla wszystkich nie anonimowych żądań aktywacji z klientów dcom opartych na systemie Windows, aby RPC_C_AUTHN_LEVEL_PKT_INTEGRITY co najmniej. Dzięki tej zmianie większość żądań klientów dcom opartych na systemie Windows zostanie automatycznie zaakceptowana z włączonymi zmianami hartowania DCOM po stronie serwera bez dalszych modyfikacji klienta DCOM. Ponadto większość klientów dcom systemu Windows będzie automatycznie pracować z dcom hartowania zmian po stronie serwera bez dalszych zmian w kliencie DCOM.

Uwaga Ta poprawka będzie nadal dostępna w aktualizacjach zbiorczych.

Łata oś czasu aktualizacji

Od czasu wydania wstępnego w listopadzie 2022 r. poprawka automatycznego podnoszenia poziomu zawiera kilka aktualizacji.

  • Aktualizacja z listopada 2022 r.

    • Ta aktualizacja automatycznie podniosła poziom uwierzytelniania aktywacji do integralności pakietów. Ta zmiana była domyślnie wyłączona w systemach Windows Server 2016 i Windows Server 2019.

  • Aktualizacja z grudnia 2022 r.

    • Zmiana listopadowa była domyślnie włączona w systemach Windows Server 2016 i Windows Server 2019.

    • Ta aktualizacja rozwiązała również problem, który wpływał na anonimową aktywację w systemach Windows Server 2016 i Windows Server 2019.

  • Aktualizacja ze stycznia 2023 r.

    • Ta aktualizacja rozwiązała problem, który wpływał na anonimową aktywację na platformach od Windows Server 2008 do Windows 10 (wersja początkowa wydana w lipcu 2015 r.).

Jeśli skumulowane aktualizacje zabezpieczeń zostały zainstalowane na komputerach klienckich i serwerach od stycznia 2023 r., będą one miały w pełni włączoną najnowszą poprawkę automatycznego podnoszenia poziomu.

Ustawienie rejestru umożliwiające włączenie lub wyłączenie zmian zaostrzania

Podczas faz osi czasu, w których można włączyć lub wyłączyć zmiany stwardnienia dla CVE-2021-26414, możesz użyć następującego klucza rejestru:

  • Ścieżka: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Nazwa wartości: "RequireIntegrityActivationAuthenticationLevel"

  • Typ: dword

  • Dane wartości: default= 0x00000000 oznacza wyłączone. 0x00000001 oznacza, że jest włączona. Jeśli ta wartość nie jest zdefiniowana, zostanie ona domyślnie włączona.

Uwaga Dane wartości należy wprowadzić w formacie szesnastkowym.

Ważne Po ustawieniu tego klucza rejestru należy ponownie uruchomić urządzenie, aby zostało zastosowane.

Uwaga Włączenie powyższego klucza rejestru spowoduje, że serwery DCOM wymuszą Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY lub nowszą w celu aktywacji. Nie ma to wpływu na aktywację anonimową (aktywacja przy użyciu poziomu uwierzytelniania RPC_C_AUTHN_LEVEL_NONE). Jeśli serwer DCOM zezwala na aktywację anonimową, nadal będzie dozwolony nawet w przypadku włączenia zmian hartowania dcom.

Uwaga Ta wartość rejestru nie istnieje domyślnie. musisz go utworzyć. System Windows odczyta go, jeśli istnieje i nie zastąpi go.

Uwaga Zainstalowanie późniejszych aktualizacji nie spowoduje zmiany ani usunięcia istniejących wpisów i ustawień rejestru.

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.