Podsumowanie

Aktualizacje z 13 lipca 2021 r Windows i nowsze aktualizacje z Windows dodać zabezpieczenia dla cve-2021-33757.

Po zainstalowaniu aktualizacji programu Windows z 13 lipca 2021 r. lub nowszych aktualizacji programu Windows szyfrowanie Advanced Encryption Standard (AES) będzie preferowaną metodą w klientach Windows w przypadku korzystania ze starszego protokołu MS-SAMR do operacji na hasłach, jeśli szyfrowanie AES jest obsługiwane przez serwer SAM. Jeśli szyfrowanie AES nie jest obsługiwane przez serwer SAM, będzie dozwolony rezerwowy dla starszego szyfrowania RC4.

Zmiany w protokole CVE-20201-33757 są specyficzne dla protokołu MS-SAMR i są niezależne od innych protokołów uwierzytelniania. Ms-SAMR używa zabezpieczeń SMB przez RPC i nazwanych potoków. Mimo że funkcja SMB obsługuje również szyfrowanie, domyślnie nie jest włączona. Domyślnie zmiany wprowadzone w standardach CVE-20201-33757 są włączone i zapewniają dodatkowe zabezpieczenia w warstwie SAM. Po zainstalowaniu zabezpieczeń zabezpieczeń cve-20201-33757 zawartych w aktualizacjach pakietu Windows Windows z 13 lipca 2021 r. lub nowszych we wszystkich obsługiwanych wersjach pakietu Windows nie są wymagane żadne dodatkowe zmiany konfiguracji. Nieobsługiwane wersje pakietu Windows powinny zostać wycofane lub uaktualnione do obsługiwanej wersji.

Uwaga ProgramCVE-2021-33757 modyfikuje tylko sposób szyfrowania haseł podczas przesyłania podczas używania określonych interfejsów API protokołu MS-SAMR, a konkretnie NIE modyfikuje sposobu przechowywania haseł w miejscu. Aby uzyskać więcej informacji na temat sposobu szyfrowania haseł w miejscu w usłudze Active Directory i lokalnie w bazie danych SAM (rejestr), zobacz Omówienie haseł.

Więcej informacji 

Istniejąca metoda SamrConnect5 jest zwykle używana do nawiązywania połączenia między klientem sam i serwerem.

Zaktualizowany serwer zwraca teraz nową bit w odpowiedzi SamrConnect5() zgodnie z definicją w programie SAMPR_REVISION_INFO_V1. 

Wartość

Znaczenie

0x00000010

Po odebraniu przez klienta ta wartość, po jej skonfigurowaniu, wskazuje, że klient powinien używać szyfrowania AES wraz ze strukturą SAMPR_ENCRYPTED_PASSWORD_AES do szyfrowania buforów haseł wysyłanych za pośrednictwem przewodu. Zobacz Użycie szyfrowania AES (sekcja 3.2.2.4)i SAMPR_ENCRYPTED_PASSWORD_AES (sekcja 2.2.6.32).

Jeśli zaktualizowany serwer obsługuje usługę AES, klient będzie używać nowych metod i nowych klas informacji do operacji na hasłach. Jeśli serwer nie zwróci tej flagi lub jeśli klient nie jest zaktualizowany, klient powrót do korzystania z poprzednich metod z szyfrowaniem RC4.

Operacje zestawu haseł wymagają kontrolera domeny do zapisu (RWDC). Zmiany hasła są przekazywane dalej przez dokument tylko do odczytu Kontroler domeny (RODC) do RWDC. Aby można było korzystać z wszystkich urządzeń, należy je zaktualizować. Na przyk³ad:

  • Jeśli klient, RODC lub RWDC nie zostanie zaktualizowany, zostanie użyte szyfrowanie RC4.

  • Jeśli klient, rodc i RWDC zostaną zaktualizowane, zostanie użyte szyfrowanie AES.

Aktualizacje z 13 lipca 2021 r. dodają do dziennika systemu cztery nowe zdarzenia, które ułatwiają identyfikowanie urządzeń, które nie są aktualizowane, i ułatwiają poprawę zabezpieczeń.

  • Stan konfiguracji Identyfikator zdarzenia 16982 lub 16983 jest rejestrowany podczas uruchamiania lub po zmianie konfiguracji rejestru.Identyfikator zdarzenia 16982

    Dziennik zdarzeń

    System

    Źródło zdarzeń

    Directory-Services-SAM

    Identyfikator zdarzenia

    16982

    Poziom

    Informacje

    Tekst wiadomości zdarzenia

    Menedżer konta zabezpieczeń obecnie rejestrowania pełnych zdarzeń dla klientów zdalnych, którzy wywołują zmiany starszych haseł lub ustawiają metody RPC. To ustawienie może powodować dużą liczbę wiadomości i powinno być używane tylko przez krótki czas do diagnozowania problemów.

    Identyfikator zdarzenia 16983

    Dziennik zdarzeń

    System

    Źródło zdarzeń

    Directory-Services-SAM

    Identyfikator zdarzenia

    16983

    Poziom

    Informacje

    Tekst wiadomości zdarzenia

    Menedżer konta zabezpieczeń obecnie rejestrowania okresowych zdarzeń podsumowania dla klientów zdalnych, którzy wywołują starsze zmiany haseł lub ustawiają metody RPC.

  • Po zastosowaniu aktualizacji z 13 lipca 2021 r. w dzienniku zdarzeń systemu jest rejestrowane zdarzenie podsumowania 16984 co 60 minut.Identyfikator zdarzenia 16984

    Dziennik zdarzeń

    System

    Źródło zdarzeń

    Directory-Services-SAM

    Identyfikator zdarzenia

    16984

    Poziom

    Informacje

    Tekst wiadomości zdarzenia

    Menedżer konta zabezpieczeń wykrył w ciągu ostatnich 60 minut starszą zmianę hasła lub ustawił połączenia metody RPC.

  • Po skonfigurowaniu szczegółowego rejestrowania zdarzeń identyfikator zdarzenia 16985 jest rejestrowany w dzienniku zdarzeń systemu za każdym razem, gdy do zmiany lub ustawienia hasła konta jest używana starsza metoda RPC.Identyfikator zdarzenia 16985

    Dziennik zdarzeń

    System

    Źródło zdarzeń

    Directory-Services-SAM

    Identyfikator zdarzenia

    16985

    Poziom

    Informacje

    Tekst wiadomości zdarzenia

    Menedżer konta zabezpieczeń wykrył użycie starszej zmiany lub ustawił metodę RPC na komputerze klienckim sieciowym. Rozważ uaktualnienie systemu operacyjnego lub aplikacji klienta do najnowszej i bezpieczniejszej wersji tej metody.

    Szczegóły:

    Metoda RPC: %1

    Adres sieciowy klienta: %2

    Identyfikator SID klienta: %3

    Nazwa użytkownika: %4 

    Aby rejestrować pełne identyfikatory zdarzeń 16985, przełącz następującą wartość rejestru na serwerze lub kontrolerze domeny.

    Ścieżka

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Typ

    REG_DWORD

    Nazwa wartości

    AuditLegacyPasswordRpcMethods

    Dane wartości

     1 = włączone jest pełne rejestrowanie

     0 lub nie istnieje = pełne rejestrowanie jest wyłączone. Tylko zdarzenia podsumowania. (Domyślna)

Zgodnie z opisem w temacie SamrUnicodeChangePasswordUser4 (Opnum 73) podczas używania nowej metody SamrUnicodeChangePasswordUser4 klient i serwer użyje algorytmu PBKDF2 do uzyskania klucza szyfrowania i odszyfrowywania na podstawie zwykłego starego hasła. Jest to spowodowane tym, że stare hasło jest jedynym wspólnym tajnym, znanym zarówno serwerowi, jak i klientowi.  

Aby uzyskać więcej informacji na temat funkcji PBKDF2, zobacz BCryptDeriveKeyPBKDF2, funkcja (crypt.h).

Jeśli musisz zmienić wydajność i bezpieczeństwo, możesz dostosować liczbę iteracji PBKDF2 używanych przez klienta do zmiany hasła, ustawiając na kliencie następującą wartość rejestru.

Uwaga: Zmniejszenie liczby iteracji PBKDF2 spowoduje zmniejszenie zabezpieczeń.  Nie zaleca się zmniejszania tej liczby od wartości domyślnej. Zaleca się jednak korzystanie z największej możliwej liczby iteracji PBKDF2.

Ścieżka 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Typ 

REG_DWORD 

Nazwa wartości 

PBKDF2Iterations 

Dane wartości 

Minimum od 5000 do maksymalnie 1 000 000

Wartość domyślna 

10,000  

Uwaga: Centrala PBKDF2 nie jest używana do operacji na zestawach haseł. W przypadku operacji zestawu haseł klucz sesji SMB to współużytkowanie między klientem i serwerem, używane jako podstawa dla pochodnych kluczy szyfrowania. 

Aby uzyskać więcej informacji, zobacz Uzyskiwanie klucza sesji SMB.

Często zadawane pytania (często zadawane pytania)

Downgrade następuje, gdy serwer lub klient nie obsługuje usługi AES.   

Zaktualizowane serwery będą rejestrować zdarzenia, gdy zostaną użyte starsze metody z rc4. 

Obecnie nie jest dostępny tryb wymuszania, ale może on pojawić się w przyszłości. Nie mamy daty. 

Jeśli urządzenie innej firmy nie używa protokołu SAMR, nie jest to istotne. Dostawcy, którzy wdrażają protokół MS-SAMR, mogą zdecydować się na jego zaimplementowanie. W razie pytań skontaktuj się z dostawcą z innej firmy. 

Nie są wymagane żadne dodatkowe zmiany.  

Ten protokół jest starsza i przewidujemy, że jego użycie będzie bardzo niskie. Starsze aplikacje mogą używać tych interfejsów API. Ponadto niektóre narzędzia usługi Active Directory, takie jak Użytkownicy usługi AD i Komputery w programie MMC, mają samr.

Nie. Dotyczy to tylko zmian haseł, które używają określonych interfejsów API SAMR.

Tak. PbKDF2 jest tańszy niż RC4. Jeśli jednocześnie występuje wiele zmian hasła na kontrolerze domeny wywołującym interfejs API SamrUnicodeChangePasswordUser4, może to mieć wpływ na obciążenie procesora LSASS. Jeśli jest to konieczne, możesz dostosować iteracje PBKDF2 na klientach, jednak nie zalecamy zmniejszania ich z wartości domyślnej, ponieważ zmniejsza to bezpieczeństwo.  

Informacje

Uwierzytelnione szyfrowanie przy użyciu AES-CBC i HMAC-SHA

Użycie szyfrowania AES

Zastrzeżenie dotyczące innych firm

Informacje kontaktowe innych firm ułatwiają znajdowanie pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Nie gwarantujemy dokładności tych informacji kontaktowych osób trzecich.

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.