Podsumowanie
Aktualizacje z 13 lipca 2021 r Windows i nowsze aktualizacje z Windows dodać zabezpieczenia dla cve-2021-33757.
Po zainstalowaniu aktualizacji programu Windows z 13 lipca 2021 r. lub nowszych aktualizacji programu Windows szyfrowanie Advanced Encryption Standard (AES) będzie preferowaną metodą w klientach Windows w przypadku korzystania ze starszego protokołu MS-SAMR do operacji na hasłach, jeśli szyfrowanie AES jest obsługiwane przez serwer SAM. Jeśli szyfrowanie AES nie jest obsługiwane przez serwer SAM, będzie dozwolony rezerwowy dla starszego szyfrowania RC4.
Zmiany w protokole CVE-20201-33757 są specyficzne dla protokołu MS-SAMR i są niezależne od innych protokołów uwierzytelniania. Ms-SAMR używa zabezpieczeń SMB przez RPC i nazwanych potoków. Mimo że funkcja SMB obsługuje również szyfrowanie, domyślnie nie jest włączona. Domyślnie zmiany wprowadzone w standardach CVE-20201-33757 są włączone i zapewniają dodatkowe zabezpieczenia w warstwie SAM. Po zainstalowaniu zabezpieczeń zabezpieczeń cve-20201-33757 zawartych w aktualizacjach pakietu Windows Windows z 13 lipca 2021 r. lub nowszych we wszystkich obsługiwanych wersjach pakietu Windows nie są wymagane żadne dodatkowe zmiany konfiguracji. Nieobsługiwane wersje pakietu Windows powinny zostać wycofane lub uaktualnione do obsługiwanej wersji.
Uwaga ProgramCVE-2021-33757 modyfikuje tylko sposób szyfrowania haseł podczas przesyłania podczas używania określonych interfejsów API protokołu MS-SAMR, a konkretnie NIE modyfikuje sposobu przechowywania haseł w miejscu. Aby uzyskać więcej informacji na temat sposobu szyfrowania haseł w miejscu w usłudze Active Directory i lokalnie w bazie danych SAM (rejestr), zobacz Omówienie haseł.
Więcej informacji
-
Wzorzec zmiany hasła
Aktualizacje modyfikują wzorzec zmiany hasła protokołu, dodając nową metodę zmiany hasła, która będzie korzystać z systemu AES.
Stara metoda z rc4
Nowa metoda z AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Aby uzyskać pełną listę opnumerów MS-SAMR, zobacz Zdarzenia przetwarzania wiadomości i Reguły sekwencji.
-
Wzorzec zestawu haseł
Aktualizacje modyfikują wzorzec zestawu haseł protokołu, dodając dwie nowe klasy informacji o użytkowniku do metody SamrSetInformationUser2 (Opnum 58). Informacje o hasłach można ustawić w następujący sposób.
Stara metoda z rc4
Nowa metoda z AES
SamrSetInformationUser2 (Opnum 58) wraz z UserInternal4InformationNew, która przechowuje zaszyfrowane hasło użytkownika za pomocą rc4.
Plik SamrSetInformationUser2 (Opnum 58) wraz z informacjami UserInternal8Information, które przechowuje zaszyfrowane hasło użytkownika za pomocą systemu AES.
SamrSetInformationUser2 (Opnum 58) wraz z userInternal5InformationNew, która przechowuje zaszyfrowane hasło użytkownika z atrybutami RC4 i wszystkimi innymi atrybutami użytkownika.
Plik SamrSetInformationUser2 (Opnum 58) wraz z informacjami UserInternal7Information, które przechowuje zaszyfrowane hasło z szyfrowaniem AES i wszystkimi innymi atrybutami użytkownika.
Istniejąca metoda SamrConnect5 jest zwykle używana do nawiązywania połączenia między klientem sam i serwerem.
Zaktualizowany serwer zwraca teraz nową bit w odpowiedzi SamrConnect5() zgodnie z definicją w programie SAMPR_REVISION_INFO_V1.
|
Wartość |
Znaczenie |
|
0x00000010 |
Po odebraniu przez klienta ta wartość, po jej skonfigurowaniu, wskazuje, że klient powinien używać szyfrowania AES wraz ze strukturą SAMPR_ENCRYPTED_PASSWORD_AES do szyfrowania buforów haseł wysyłanych za pośrednictwem przewodu. Zobacz Użycie szyfrowania AES (sekcja 3.2.2.4)i SAMPR_ENCRYPTED_PASSWORD_AES (sekcja 2.2.6.32). |
Jeśli zaktualizowany serwer obsługuje usługę AES, klient będzie używać nowych metod i nowych klas informacji do operacji na hasłach. Jeśli serwer nie zwróci tej flagi lub jeśli klient nie jest zaktualizowany, klient powrót do korzystania z poprzednich metod z szyfrowaniem RC4.
Operacje zestawu haseł wymagają kontrolera domeny do zapisu (RWDC). Zmiany hasła są przekazywane dalej przez dokument tylko do odczytu Kontroler domeny (RODC) do RWDC. Aby można było korzystać z wszystkich urządzeń, należy je zaktualizować. Na przyk³ad:
-
Jeśli klient, RODC lub RWDC nie zostanie zaktualizowany, zostanie użyte szyfrowanie RC4.
-
Jeśli klient, rodc i RWDC zostaną zaktualizowane, zostanie użyte szyfrowanie AES.
Aktualizacje z 13 lipca 2021 r. dodają do dziennika systemu cztery nowe zdarzenia, które ułatwiają identyfikowanie urządzeń, które nie są aktualizowane, i ułatwiają poprawę zabezpieczeń.
-
Stan konfiguracji Identyfikator zdarzenia 16982 lub 16983 jest rejestrowany podczas uruchamiania lub po zmianie konfiguracji rejestru.Identyfikator zdarzenia 16982
Dziennik zdarzeń
System
Źródło zdarzeń
Directory-Services-SAM
Identyfikator zdarzenia
16982
Poziom
Informacje
Tekst wiadomości zdarzenia
Menedżer konta zabezpieczeń obecnie rejestrowania pełnych zdarzeń dla klientów zdalnych, którzy wywołują zmiany starszych haseł lub ustawiają metody RPC. To ustawienie może powodować dużą liczbę wiadomości i powinno być używane tylko przez krótki czas do diagnozowania problemów.
Identyfikator zdarzenia 16983
Dziennik zdarzeń
System
Źródło zdarzeń
Directory-Services-SAM
Identyfikator zdarzenia
16983
Poziom
Informacje
Tekst wiadomości zdarzenia
Menedżer konta zabezpieczeń obecnie rejestrowania okresowych zdarzeń podsumowania dla klientów zdalnych, którzy wywołują starsze zmiany haseł lub ustawiają metody RPC.
-
Po zastosowaniu aktualizacji z 13 lipca 2021 r. w dzienniku zdarzeń systemu jest rejestrowane zdarzenie podsumowania 16984 co 60 minut.Identyfikator zdarzenia 16984
Dziennik zdarzeń
System
Źródło zdarzeń
Directory-Services-SAM
Identyfikator zdarzenia
16984
Poziom
Informacje
Tekst wiadomości zdarzenia
Menedżer konta zabezpieczeń wykrył w ciągu ostatnich 60 minut starszą zmianę hasła lub ustawił połączenia metody RPC.
-
Po skonfigurowaniu szczegółowego rejestrowania zdarzeń identyfikator zdarzenia 16985 jest rejestrowany w dzienniku zdarzeń systemu za każdym razem, gdy do zmiany lub ustawienia hasła konta jest używana starsza metoda RPC.Identyfikator zdarzenia 16985
Dziennik zdarzeń
System
Źródło zdarzeń
Directory-Services-SAM
Identyfikator zdarzenia
16985
Poziom
Informacje
Tekst wiadomości zdarzenia
Menedżer konta zabezpieczeń wykrył użycie starszej zmiany lub ustawił metodę RPC na komputerze klienckim sieciowym. Rozważ uaktualnienie systemu operacyjnego lub aplikacji klienta do najnowszej i bezpieczniejszej wersji tej metody.
Szczegóły:
Metoda RPC: %1
Adres sieciowy klienta: %2
Identyfikator SID klienta: %3
Nazwa użytkownika: %4
Aby rejestrować pełne identyfikatory zdarzeń 16985, przełącz następującą wartość rejestru na serwerze lub kontrolerze domeny.
Ścieżka
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Typ
REG_DWORD
Nazwa wartości
AuditLegacyPasswordRpcMethods
Dane wartości
1 = włączone jest pełne rejestrowanie
0 lub nie istnieje = pełne rejestrowanie jest wyłączone. Tylko zdarzenia podsumowania. (Domyślna)
Zgodnie z opisem w temacie SamrUnicodeChangePasswordUser4 (Opnum 73) podczas używania nowej metody SamrUnicodeChangePasswordUser4 klient i serwer użyje algorytmu PBKDF2 do uzyskania klucza szyfrowania i odszyfrowywania na podstawie zwykłego starego hasła. Jest to spowodowane tym, że stare hasło jest jedynym wspólnym tajnym, znanym zarówno serwerowi, jak i klientowi.
Aby uzyskać więcej informacji na temat funkcji PBKDF2, zobacz BCryptDeriveKeyPBKDF2, funkcja (crypt.h).
Jeśli musisz zmienić wydajność i bezpieczeństwo, możesz dostosować liczbę iteracji PBKDF2 używanych przez klienta do zmiany hasła, ustawiając na kliencie następującą wartość rejestru.
Uwaga: Zmniejszenie liczby iteracji PBKDF2 spowoduje zmniejszenie zabezpieczeń. Nie zaleca się zmniejszania tej liczby od wartości domyślnej. Zaleca się jednak korzystanie z największej możliwej liczby iteracji PBKDF2.
|
Ścieżka |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
|
Typ |
REG_DWORD |
|
Nazwa wartości |
PBKDF2Iterations |
|
Dane wartości |
Minimum od 5000 do maksymalnie 1 000 000 |
|
Wartość domyślna |
10,000 |
Uwaga: Centrala PBKDF2 nie jest używana do operacji na zestawach haseł. W przypadku operacji zestawu haseł klucz sesji SMB to współużytkowanie między klientem i serwerem, używane jako podstawa dla pochodnych kluczy szyfrowania.
Aby uzyskać więcej informacji, zobacz Uzyskiwanie klucza sesji SMB.
Często zadawane pytania (często zadawane pytania)
Downgrade następuje, gdy serwer lub klient nie obsługuje usługi AES.
Zaktualizowane serwery będą rejestrować zdarzenia, gdy zostaną użyte starsze metody z rc4.
Obecnie nie jest dostępny tryb wymuszania, ale może on pojawić się w przyszłości. Nie mamy daty.
Jeśli urządzenie innej firmy nie używa protokołu SAMR, nie jest to istotne. Dostawcy, którzy wdrażają protokół MS-SAMR, mogą zdecydować się na jego zaimplementowanie. W razie pytań skontaktuj się z dostawcą z innej firmy.
Nie są wymagane żadne dodatkowe zmiany.
Ten protokół jest starsza i przewidujemy, że jego użycie będzie bardzo niskie. Starsze aplikacje mogą używać tych interfejsów API. Ponadto niektóre narzędzia usługi Active Directory, takie jak Użytkownicy usługi AD i Komputery w programie MMC, mają samr.
Nie. Dotyczy to tylko zmian haseł, które używają określonych interfejsów API SAMR.
Tak. PbKDF2 jest tańszy niż RC4. Jeśli jednocześnie występuje wiele zmian hasła na kontrolerze domeny wywołującym interfejs API SamrUnicodeChangePasswordUser4, może to mieć wpływ na obciążenie procesora LSASS. Jeśli jest to konieczne, możesz dostosować iteracje PBKDF2 na klientach, jednak nie zalecamy zmniejszania ich z wartości domyślnej, ponieważ zmniejsza to bezpieczeństwo.
Informacje
Uwierzytelnione szyfrowanie przy użyciu AES-CBC i HMAC-SHA
Zastrzeżenie dotyczące innych firm
Informacje kontaktowe innych firm ułatwiają znajdowanie pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Nie gwarantujemy dokładności tych informacji kontaktowych osób trzecich.
