Rezumat
Pe 13 iulie 2021, actualizările Windows actualizările ulterioare Windows adaugă protecții pentru CVE-2021-33757.
După instalarea actualizărilor Windows din 13 iulie 2021 sau Windows mai recente, criptarea Advanced Encryption Standard (AES) va fi metoda preferată pentru clienții Windows atunci când utilizați protocolul moștenit MS-SAMR pentru operațiunile cu parole, dacă criptarea AES este suportată de serverul SAM. Dacă criptarea AES nu este suportată de serverul SAM, reveniți la criptarea RC4 moștenită va fi permisă.
Modificările din CVE-20201-33757 sunt specifice protocolului MS-SAMR și sunt independente de alte protocoale de autentificare. MS-SAMR utilizează SMB prin RPC și canalele numite. Deși SMB acceptă și criptarea, aceasta nu este activată în mod implicit. În mod implicit, modificările din CVE-20201-33757 sunt activate și furnizează securitate suplimentară la nivel DE SAM. Nu sunt necesare modificări suplimentare de configurare, dincolo de protecțiile de instalare pentru CVE-20201-33757 inclus în actualizările de Windows iulie 2021 sau actualizările Windows mai recente pentru toate versiunile acceptate de Windows. Versiunile neacceptate de Windows ar trebui să fie retrase sau să i se facă upgrade la o versiune acceptată.
Notă CVE-2021-33757 modifică numai modul în care parolele sunt criptate în tranzit atunci când utilizați API-uri specifice ale protocolului MS-SAMR și, mai exact, NU modificați modul în care sunt stocate parolele. Pentru mai multe informații despre cum sunt criptate parolele când sunt stocate în Active Directory și local în baza de date SAM (registry), consultați Prezentarea generală a parolelor.
Mai multe informații
-
Modelul de modificare a parolei
Actualizările modifică modelul de modificare a parolei pentru protocol, adăugând o nouă metodă de modificare a parolei care va utiliza AES.
Metoda veche cu RC4
Metodă nouă cu AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Pentru o listă completă a MS-SAMR OpNums, consultați Evenimente de procesare a mesajelor și Reguli de secvențiere.
-
Modelul setului de parole
Actualizările modifică modelul de set de parole al protocolului adăugând două clase noi de informații despre utilizatori la metoda SamrSetInformationUser2 (Opnum 58). Puteți seta informațiile despre parolă după cum urmează.
Metoda veche cu RC4
Metodă nouă cu AES
SamrSetInformationUser2 (Opnum 58) împreună cu UserInternal4InformationNew, care conține o parolă de utilizator criptată cu RC4.
SamrSetInformationUser2 (Opnum 58) împreună cu UserInternal8Information care conține o parolă de utilizator criptată cu AES.
SamrSetInformationUser2 (Opnum 58) împreună cu UserInternal5InformationNew, care conține o parolă de utilizator criptată cu RC4 și toate celelalte atribute de utilizator.
SamrSetInformationUser2 (Opnum 58) împreună cu UserInternal7Information, care conține o parolă criptată cu AES și toate celelalte atribute de utilizator.
Metoda SamrConnect5 existentă este utilizată de obicei pentru a stabili o conexiune între clientul SAM și server.
Un server actualizat va returna acum un bit nou în răspunsul SamrConnect5(), așa cum este definit în SAMPR_REVISION_INFO_V1.
Valoare |
Semnificație |
0x00000010 |
La confirmarea de către client, această valoare, când este setată, indică faptul că clientul trebuie să utilizeze Criptarea AES cu structura SAMPR_ENCRYPTED_PASSWORD_AES pentru a cripta buffer-uri de parole atunci când este trimisă prin fir. Consultați Utilizarea AES Cipher (secțiunea 3.2.2.4)și SAMPR_ENCRYPTED_PASSWORD_AES (secțiunea 2.2.6.32). |
Dacă serverul actualizat acceptă AES, clientul va utiliza metode noi și noi clase de informații pentru operațiuni cu parole. Dacă serverul nu returnează această semnalizare sau dacă clientul nu este actualizat, clientul va reveni la utilizarea metodelor anterioare cu criptarea RC4.
Operațiunile de set de parole necesită un controler de domeniu scriebil (RWDC). Modificările parolelor sunt redirecționate de controlerul de domeniu DOAR în citire (CADRUL) LA un RWDC. Toate dispozitivele trebuie actualizate pentru ca AES să fie utilizate. De exemplu:
-
În cazul în care clientul, EAC sau RWDC nu este actualizat, va fi utilizată criptarea RC4.
-
Dacă clientul, FOLOSIC și RWDC sunt actualizate, va fi utilizată criptarea AES.
Actualizările din 13 iulie 2021 adaugă patru evenimente noi în jurnalul de sistem, pentru a ajuta la identificarea dispozitivelor care nu sunt actualizate și contribuie la îmbunătățirea securității.
-
ID-ul evenimentului cu starea de configurare 16982 sau 16983 este conectat la pornire sau la o modificare de configurare de registry.
EVENT ID 16982Jurnal de evenimente
Sistem
Sursa evenimentului
Directory-Services-SAM
ID eveniment
16982
Nivel
Informații
Textul mesajului eveniment
Managerul de cont de securitate face acum înregistrarea detaliată a evenimentelor pentru clienții la distanță care apelează schimbarea parolei moștenite sau setează metode RPC. Această setare poate cauza un număr mare de mesaje și ar trebui utilizată doar pentru o perioadă scurtă de timp pentru diagnosticarea problemelor.
Jurnal de evenimente
Sistem
Sursa evenimentului
Directory-Services-SAM
ID eveniment
16983
Nivel
Informații
Textul mesajului eveniment
Managerul de cont de securitate face acum înregistrarea în jurnal a evenimentelor rezumat periodice pentru clienții la distanță care apelează schimbarea parolei moștenite sau setează metode RPC.
-
După aplicarea actualizării din 13 iulie 2021, un eveniment rezumat 16984 este înregistrat în jurnalul de evenimente De sistem la fiecare 60 de minute.
EVENT ID 16984Jurnal de evenimente
Sistem
Sursa evenimentului
Directory-Services-SAM
ID eveniment
16984
Nivel
Informații
Textul mesajului eveniment
Managerul de cont de securitate a detectat %x modificarea parolei moștenite sau a setat apelurile prin metoda RPC în ultimele 60 de minute.
-
După ce configurați înregistrarea detaliată în jurnal a evenimentelor, ID eveniment 16985 este înregistrat în jurnalul de evenimente de sistem de fiecare dată când se utilizează o metodă RPC moștenită pentru a modifica sau a seta o parolă de cont.
EVENT ID 16985Jurnal de evenimente
Sistem
Sursa evenimentului
Directory-Services-SAM
ID eveniment
16985
Nivel
Informații
Textul mesajului eveniment
Managerul de cont de securitate a detectat utilizarea unei modificări moștenite sau a unei metode RPC de la un client de rețea. Luați în considerare upgrade-ul sistemului de operare sau al aplicației client pentru a utiliza cea mai recentă și mai sigură versiune a acestei metode.
Detalii:
Metodă RPC: %1
Adresa rețelei client: %2
SID client: %3
Nume de utilizator: %4
Pentru a înregistra detaliat ID-ul de eveniment 16985, comutați următoarea valoare de registry pe server sau pe controlerul de domeniu.
Cale
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Tip
REG_DWORD
Nume valoare
AuditLegacyPasswordRpcMethods
Date valoare
1 = înregistrarea detaliată în jurnal este activată
0 sau nu este prezent = înregistrarea detaliată în jurnal este dezactivată. Numai evenimente rezumat. (Implicit)
Așa cum este descris în SamrUnicodeChangePasswordUser4 (Opnum 73), atunci când utilizați metoda nouă SamrUnicodeChangePasswordUser4, clientul și serverul vor utiliza algoritmul PBKDF2 pentru a deduce o cheie de criptare și decriptare din parola veche de text simplu. Aceasta se datorează faptului că parola veche este singurul secret comun care se cunoaște atât pentru server, cât și pentru client.
Pentru mai multe informații despre PBKDF2, consultați Funcția BCryptDeriveKeyPBKDF2 (bcrypt.h).
Dacă trebuie să efectuați modificări din motive de performanță și securitate, puteți regla numărul de iterații PBKDF2 utilizate de client pentru modificarea parolei, setând următoarea valoare de registry pentru client.
Notă: Micșorarea numărului de iterații PBKDF2 va reduce securitatea. Nu recomandăm ca numărul să fie scăzut loc din valoarea implicită. Totuși, vă recomandăm să utilizați cel mai mare număr posibil de iterații PBKDF2.
Cale |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Tip |
REG_DWORD |
Nume valoare |
PBKDF2Iterations |
Date valoare |
Minimum de 5.000 la un maxim de 1.000.000 |
Valoare implicită |
10,000 |
Notă: PBKDF2 nu se utilizează pentru operațiuni de setare a parolelor. Pentru operațiuni de set de parole, cheia de sesiune SMB este secretul partajat între client și server și utilizat ca bază pentru cheile de criptare sosite.
Pentru mai multe informații, consultați Achiziționarea unei chei de sesiune SMB.
Întrebări frecvente (Întrebări frecvente)
Retrogradarea are loc atunci când serverul sau clientul nu acceptă AES.
Serverele actualizate vor înregistra evenimentele atunci când sunt utilizate metode moștenite cu RC4.
Momentan nu este disponibil niciun mod de impunere, dar este posibil să existe în viitor. Nu avem o dată.
Dacă un dispozitiv terț nu utilizează protocolul SAMR, acest lucru nu este important. Distribuitorii terți care implementează protocolul MS-SAMR pot alege să implementeze acest lucru. Contactați distribuitorul terț pentru orice întrebări.
Nu sunt necesare modificări suplimentare.
Acest protocol este moștenit și anticipăm că utilizarea sa este foarte scăzută. Aplicațiile moștenite pot utiliza aceste API-uri. De asemenea, unele instrumente Active Directory, cum ar fi Utilizatori AD și Computere MMC utilizează SAMR.
nu. Sunt afectate numai modificările parolei care utilizează aceste API-uri SAMR specifice.
da. PBKDF2 este mai costisitoare decât RC4. Dacă există multe modificări ale parolei care au loc în același timp pe controlerul de domeniu, apelând SamrUnicodeChangePasswordUser4 API, încărcarea PROCESORului LSASS poate fi afectată. Dacă este necesar, nu recomandăm o descreștere a numărului implicit de iterații PBKDF2, deoarece acest lucru ar reduce securitatea.
Referințe
Criptare autentificată cu AES-CBC și HMAC-SHA
Exonerare privind informaţii ale terţilor
Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare. Nu vă garantam acuratețea acestor informații de contact de la terți.