Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

ATUALIZADO 20 de março de 2023 – Seção Disponibilidade

Resumo

O Protocolo Remoto DCOM (Modelo de Objeto de Componente Distribuído) é um protocolo para expor objetos de aplicativo usando RPCs (chamadas de procedimento remoto). O DCOM é usado para comunicação entre os componentes de software de dispositivos em rede. Foram necessárias alterações de endurecimento no DCOM para CVE-2021-26414. Portanto, recomendamos que você verifique se os aplicativos cliente ou servidor em seu ambiente que usam DCOM ou RPC funcionam conforme o esperado com as alterações de endurecimento habilitadas.

Observação É altamente recomendável instalar a atualização de segurança mais recente disponível. Eles fornecem proteções avançadas contra as ameaças de segurança mais recentes. Eles também fornecem recursos que adicionamos para dar suporte à migração. Para obter mais informações e contexto sobre como estamos endurecendo o DCOM, confira o endurecimento da autenticação DCOM: o que você precisa saber.

A primeira fase das atualizações DCOM foi lançada em 8 de junho de 2021. Nessa atualização, o endurecimento do DCOM foi desabilitado por padrão. Você pode habilitá-los modificando o registro conforme descrito na seção "Configuração do Registro para habilitar ou desabilitar as alterações de endurecimento" abaixo. A segunda fase das atualizações DCOM foi lançada em 14 de junho de 2022. Isso alterou o endurecimento para habilitado por padrão, mas manteve a capacidade de desabilitar as alterações usando as configurações de chave do registro. A fase final das atualizações DCOM será lançada em março de 2023. Ele manterá o endurecimento DCOM habilitado e removerá a capacidade de desabilitá-lo.

Cronograma

Atualizar versão

Alteração de comportamento

8 de junho de 2021

Versão da Fase 1 – Endurecendo as alterações desabilitadas por padrão, mas com a capacidade de habilitá-las usando uma chave de registro.

14 de junho de 2022

Versão da fase 2 – endurecendo as alterações habilitadas por padrão, mas com a capacidade de desabilitar usando uma chave de registro.

14 de março de 2023

Versão da Fase 3 – endurecendo as alterações habilitadas por padrão, sem capacidade de desabilitar. Nesse ponto, você deve resolver quaisquer problemas de compatibilidade com as alterações de endurecimento e aplicativos em seu ambiente.

Teste para compatibilidade de endurecimento do DCOM

Novos eventos de erro DCOM

Para ajudá-lo a identificar os aplicativos que podem ter problemas de compatibilidade depois de habilitar as alterações de endurecimento de segurança DCOM, adicionamos novos eventos de erro DCOM no log do Sistema. Confira as tabelas abaixo. O sistema registrará esses eventos se detectar que um aplicativo cliente DCOM está tentando ativar um servidor DCOM usando um nível de autenticação menor que RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Você pode rastrear até o dispositivo cliente no log de eventos do lado do servidor e usar logs de eventos do lado do cliente para localizar o aplicativo.

Eventos do servidor – Indicar que o servidor está recebendo solicitações de nível inferior

ID de Evento

Mensagem

10036

"A política de nível de autenticação do lado do servidor não permite que o usuário %1\%2 SID (%3) do endereço %4 ative o servidor DCOM. Aumente o nível de autenticação de ativação pelo menos para RPC_C_AUTHN_LEVEL_PKT_INTEGRITY no aplicativo cliente".

(%1 – domínio, %2 – nome de usuário, %3 – SID do usuário, %4 – Endereço IP do cliente)

Eventos do cliente – indica qual aplicativo está enviando solicitações de nível inferior

ID de Evento

Mensagem

10037

"O aplicativo %1 com PID %2 está solicitando ativar o CLSID %3 no computador %4 com o nível de autenticação definido explicitamente em %5. O nível de autenticação de ativação mais baixo exigido pelo DCOM é 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Para elevar o nível de autenticação de ativação, entre em contato com o fornecedor do aplicativo.".

10038

"O aplicativo %1 com PID %2 está solicitando ativar o CLSID %3 no computador %4 com o nível padrão de autenticação de ativação em %5. O nível de autenticação de ativação mais baixo exigido pelo DCOM é 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Para elevar o nível de autenticação de ativação, entre em contato com o fornecedor do aplicativo.".

(%1 – Caminho do Aplicativo, %2 – PID do Aplicativo, %3 – CLSID da classe COM que o aplicativo está solicitando para ativar, %4 – Nome do Computador, %5 – Valor do Nível de Autenticação)

Disponibilidade

Esses eventos de erro só estão disponíveis para um subconjunto de versões do Windows; confira a tabela abaixo.

Versão do Windows

Disponível em ou após essas datas

Windows Server 2022

27 de setembro de 2021

KB5005619

Windows 10, versão 2004, Windows 10, versão 20H2, Windows 10, versão 21H1

1º de setembro de 2021

KB5005101

Windows 10, versão 1909

26 de agosto de 2021

KB5005103

Windows Server 2019, Windows 10, versão 1809

26 de agosto de 2021

KB5005102

Windows Server 2016, Windows 10, versão 1607

14 de setembro de 2021

KB5005573

Windows Server 2012 R2 e Windows 8.1

12 de outubro de 2021

KB5006714

Windows 11, versão 22H2

30 de setembro de 2022

KB5017389

Patch de elevação automática de solicitação do lado do cliente

Nível de autenticação para todas as solicitações de ativação não anônimas

Para ajudar a reduzir os problemas de compatibilidade do aplicativo, elevamos automaticamente o nível de autenticação para todas as solicitações de ativação não anônimas de clientes DCOM baseados no Windows para RPC_C_AUTHN_LEVEL_PKT_INTEGRITY no mínimo. Com essa alteração, a maioria das solicitações de cliente DCOM baseadas no Windows será aceita automaticamente com alterações de endurecimento DCOM habilitadas no lado do servidor sem nenhuma modificação adicional no cliente DCOM. Além disso, a maioria dos clientes DCOM do Windows trabalhará automaticamente com alterações de endurecimento de DCOM no lado do servidor sem nenhuma modificação adicional no cliente DCOM.

Observação Esse patch continuará a ser incluído nas atualizações cumulativas.

Linha do tempo de atualização de patch

Desde a versão inicial, em novembro de 2022, o patch de elevação automática teve algumas atualizações.

  • Atualização de novembro de 2022

    • Essa atualização elevou automaticamente o nível de autenticação de ativação para a integridade do pacote. Essa alteração foi desabilitada por padrão no Windows Server 2016 e no Windows Server 2019.

  • Atualização de dezembro de 2022

    • A alteração de novembro foi habilitada por padrão para Windows Server 2016 e Windows Server 2019.

    • Essa atualização também abordou um problema que afetou a ativação anônima no Windows Server 2016 e no Windows Server 2019.

  • Atualização de janeiro de 2023

    • Essa atualização abordou um problema que afetou a ativação anônima em plataformas do Windows Server 2008 para Windows 10 (versão inicial lançada em julho de 2015).

Se você tiver instalado as atualizações de segurança cumulativas a partir de janeiro de 2023 em seus clientes e servidores, elas terão o patch de elevação automática mais recente totalmente habilitado.

Configuração do registro para habilitar ou desabilitar as alterações de endurecimento

Durante as fases da linha do tempo nas quais você pode habilitar ou desabilitar as alterações de endurecimento para CVE-2021-26414, você pode usar a seguinte chave de registro:

  • Caminho: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • Nome do valor: "RequireIntegrityActivationAuthenticationLevel"

  • Tipo: dword

  • Dados de valor: padrão= 0x00000000 significa desabilitado. 0x00000001 significa habilitado. Se esse valor não for definido, ele será padrão para habilitado.

Observação Você deve inserir Dados de Valor no formato hexadecimal.

Importante Você deve reiniciar seu dispositivo depois de definir essa chave do registro para que ele entre em vigor.

Observação Habilitar a chave do registro acima fará com que os servidores DCOM imponham uma Authentication-Level de RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ou superior para ativação. Isso não afeta a ativação anônima (ativação usando o nível de autenticação RPC_C_AUTHN_LEVEL_NONE). Se o servidor DCOM permitir a ativação anônima, ele ainda será permitido mesmo com as alterações de endurecimento do DCOM habilitadas.

Observação Esse valor de registro não existe por padrão; você deve criá-lo. O Windows o lerá se ele existir e não o substituirá.

Observação A instalação de atualizações posteriores não mudará nem removerá as entradas e as configurações existentes do registro.

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.