Rezumat

Pe 13 iulie 2021, actualizările Windows actualizările ulterioare Windows adaugă protecții pentru CVE-2021-33757.

După instalarea actualizărilor Windows din 13 iulie 2021 sau Windows mai recente, criptarea Advanced Encryption Standard (AES) va fi metoda preferată pentru clienții Windows atunci când utilizați protocolul moștenit MS-SAMR pentru operațiunile cu parole, dacă criptarea AES este suportată de serverul SAM. Dacă criptarea AES nu este suportată de serverul SAM, reveniți la criptarea RC4 moștenită va fi permisă.

Modificările din CVE-20201-33757 sunt specifice protocolului MS-SAMR și sunt independente de alte protocoale de autentificare. MS-SAMR utilizează SMB prin RPC și canalele numite. Deși SMB acceptă și criptarea, aceasta nu este activată în mod implicit. În mod implicit, modificările din CVE-20201-33757 sunt activate și furnizează securitate suplimentară la nivel DE SAM. Nu sunt necesare modificări suplimentare de configurare, dincolo de protecțiile de instalare pentru CVE-20201-33757 inclus în actualizările de Windows iulie 2021 sau actualizările Windows mai recente pentru toate versiunile acceptate de Windows. Versiunile neacceptate de Windows ar trebui să fie retrase sau să i se facă upgrade la o versiune acceptată.

Notă CVE-2021-33757 modifică numai modul în care parolele sunt criptate în tranzit atunci când utilizați API-uri specifice ale protocolului MS-SAMR și, mai exact, NU modificați modul în care sunt stocate parolele. Pentru mai multe informații despre cum sunt criptate parolele când sunt stocate în Active Directory și local în baza de date SAM (registry), consultați Prezentarea generală a parolelor.

Mai multe informații  

Metoda SamrConnect5 existentă este utilizată de obicei pentru a stabili o conexiune între clientul SAM și server.

Un server actualizat va returna acum un bit nou în răspunsul SamrConnect5(), așa cum este definit în SAMPR_REVISION_INFO_V1

Valoare

Semnificație

0x00000010

La confirmarea de către client, această valoare, când este setată, indică faptul că clientul trebuie să utilizeze Criptarea AES cu structura SAMPR_ENCRYPTED_PASSWORD_AES pentru a cripta buffer-uri de parole atunci când este trimisă prin fir. Consultați Utilizarea AES Cipher (secțiunea 3.2.2.4)și SAMPR_ENCRYPTED_PASSWORD_AES (secțiunea 2.2.6.32).

Dacă serverul actualizat acceptă AES, clientul va utiliza metode noi și noi clase de informații pentru operațiuni cu parole. Dacă serverul nu returnează această semnalizare sau dacă clientul nu este actualizat, clientul va reveni la utilizarea metodelor anterioare cu criptarea RC4.

Operațiunile de set de parole necesită un controler de domeniu scriebil (RWDC). Modificările parolelor sunt redirecționate de controlerul de domeniu DOAR în citire (CADRUL) LA un RWDC. Toate dispozitivele trebuie actualizate pentru ca AES să fie utilizate. De exemplu:

  • În cazul în care clientul, EAC sau RWDC nu este actualizat, va fi utilizată criptarea RC4.

  • Dacă clientul, FOLOSIC și RWDC sunt actualizate, va fi utilizată criptarea AES.

Actualizările din 13 iulie 2021 adaugă patru evenimente noi în jurnalul de sistem, pentru a ajuta la identificarea dispozitivelor care nu sunt actualizate și contribuie la îmbunătățirea securității.

  • ID-ul evenimentului cu starea de configurare 16982 sau 16983 este conectat la pornire sau la o modificare de configurare de registry.EVENT ID 16982

    Jurnal de evenimente

    Sistem

    Sursa evenimentului

    Directory-Services-SAM

    ID eveniment

    16982

    Nivel

    Informații

    Textul mesajului eveniment

    Managerul de cont de securitate face acum înregistrarea detaliată a evenimentelor pentru clienții la distanță care apelează schimbarea parolei moștenite sau setează metode RPC. Această setare poate cauza un număr mare de mesaje și ar trebui utilizată doar pentru o perioadă scurtă de timp pentru diagnosticarea problemelor.

    EVENT ID 16983

    Jurnal de evenimente

    Sistem

    Sursa evenimentului

    Directory-Services-SAM

    ID eveniment

    16983

    Nivel

    Informații

    Textul mesajului eveniment

    Managerul de cont de securitate face acum înregistrarea în jurnal a evenimentelor rezumat periodice pentru clienții la distanță care apelează schimbarea parolei moștenite sau setează metode RPC.

  • După aplicarea actualizării din 13 iulie 2021, un eveniment rezumat 16984 este înregistrat în jurnalul de evenimente De sistem la fiecare 60 de minute.EVENT ID 16984

    Jurnal de evenimente

    Sistem

    Sursa evenimentului

    Directory-Services-SAM

    ID eveniment

    16984

    Nivel

    Informații

    Textul mesajului eveniment

    Managerul de cont de securitate a detectat %x modificarea parolei moștenite sau a setat apelurile prin metoda RPC în ultimele 60 de minute.

  • După ce configurați înregistrarea detaliată în jurnal a evenimentelor, ID eveniment 16985 este înregistrat în jurnalul de evenimente de sistem de fiecare dată când se utilizează o metodă RPC moștenită pentru a modifica sau a seta o parolă de cont.EVENT ID 16985

    Jurnal de evenimente

    Sistem

    Sursa evenimentului

    Directory-Services-SAM

    ID eveniment

    16985

    Nivel

    Informații

    Textul mesajului eveniment

    Managerul de cont de securitate a detectat utilizarea unei modificări moștenite sau a unei metode RPC de la un client de rețea. Luați în considerare upgrade-ul sistemului de operare sau al aplicației client pentru a utiliza cea mai recentă și mai sigură versiune a acestei metode.

    Detalii:

    Metodă RPC: %1

    Adresa rețelei client: %2

    SID client: %3

    Nume de utilizator: %4 

    Pentru a înregistra detaliat ID-ul de eveniment 16985, comutați următoarea valoare de registry pe server sau pe controlerul de domeniu.

    Cale

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Tip

    REG_DWORD

    Nume valoare

    AuditLegacyPasswordRpcMethods

    Date valoare

     1 = înregistrarea detaliată în jurnal este activată

     0 sau nu este prezent = înregistrarea detaliată în jurnal este dezactivată. Numai evenimente rezumat. (Implicit)

Așa cum este descris în SamrUnicodeChangePasswordUser4 (Opnum 73), atunci când utilizați metoda nouă SamrUnicodeChangePasswordUser4, clientul și serverul vor utiliza algoritmul PBKDF2 pentru a deduce o cheie de criptare și decriptare din parola veche de text simplu. Aceasta se datorează faptului că parola veche este singurul secret comun care se cunoaște atât pentru server, cât și pentru client.  

Pentru mai multe informații despre PBKDF2, consultați Funcția BCryptDeriveKeyPBKDF2 (bcrypt.h).

Dacă trebuie să efectuați modificări din motive de performanță și securitate, puteți regla numărul de iterații PBKDF2 utilizate de client pentru modificarea parolei, setând următoarea valoare de registry pentru client.

Notă: Micșorarea numărului de iterații PBKDF2 va reduce securitatea.  Nu recomandăm ca numărul să fie scăzut loc din valoarea implicită. Totuși, vă recomandăm să utilizați cel mai mare număr posibil de iterații PBKDF2.

Cale 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Tip 

REG_DWORD 

Nume valoare 

PBKDF2Iterations 

Date valoare 

Minimum de 5.000 la un maxim de 1.000.000

Valoare implicită 

10,000  

Notă: PBKDF2 nu se utilizează pentru operațiuni de setare a parolelor. Pentru operațiuni de set de parole, cheia de sesiune SMB este secretul partajat între client și server și utilizat ca bază pentru cheile de criptare sosite. 

Pentru mai multe informații, consultați Achiziționarea unei chei de sesiune SMB.

Întrebări frecvente (Întrebări frecvente)

Retrogradarea are loc atunci când serverul sau clientul nu acceptă AES.   

Serverele actualizate vor înregistra evenimentele atunci când sunt utilizate metode moștenite cu RC4. 

Momentan nu este disponibil niciun mod de impunere, dar este posibil să existe în viitor. Nu avem o dată. 

Dacă un dispozitiv terț nu utilizează protocolul SAMR, acest lucru nu este important. Distribuitorii terți care implementează protocolul MS-SAMR pot alege să implementeze acest lucru. Contactați distribuitorul terț pentru orice întrebări. 

Nu sunt necesare modificări suplimentare.  

Acest protocol este moștenit și anticipăm că utilizarea sa este foarte scăzută. Aplicațiile moștenite pot utiliza aceste API-uri. De asemenea, unele instrumente Active Directory, cum ar fi Utilizatori AD și Computere MMC utilizează SAMR.

nu. Sunt afectate numai modificările parolei care utilizează aceste API-uri SAMR specifice.

da. PBKDF2 este mai costisitoare decât RC4. Dacă există multe modificări ale parolei care au loc în același timp pe controlerul de domeniu, apelând SamrUnicodeChangePasswordUser4 API, încărcarea PROCESORului LSASS poate fi afectată. Dacă este necesar, nu recomandăm o descreștere a numărului implicit de iterații PBKDF2, deoarece acest lucru ar reduce securitatea.  

Referințe

Criptare autentificată cu AES-CBC și HMAC-SHA

Utilizarea descifrului AES

Exonerare privind informaţii ale terţilor

Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare. Nu vă garantam acuratețea acestor informații de contact de la terți.

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.