Súhrn
Aktualizácia aktualizácie z 13. júla 2021 Windows novších Windows aktualizáciách pridáva ochranu CVE-2021-33757.
Po inštalácii aktualizácií pre Windows z 13. júla 2021 alebo novších aktualizácií balíka Windows bude šifrovanie Advanced Encryption Standard (AES) preferovanou metódou v klientoch Windows pri používaní staršieho protokolu MS-SAMR na operácie s heslom v prípade, že server SAM podporuje šifrovanie AES. Ak server SAM nepodporuje šifrovanie AES, bude povolené použiť spätné volanie na staršie šifrovanie RC4.
Zmeny v CVE-20201-33757 sú špecifické pre protokol MS-SAMR a sú nezávislé od iných overovacie protokoly. MS-SAMR používa SMB nad RPC a pomenované presmerovania. Hoci SMB podporuje aj šifrovanie, nie je predvolene povolené. Zmeny vo formáte CVE-20201-33757 sú predvolene povolené a vo vrstve SAM poskytujú dodatočné zabezpečenie. Okrem inštalácie ochrany CVE-20201-33757, ktorá je súčasťou aktualizácií aktualizácií pre CVE-20201-33757 z 13. júla 2021 Windows alebo novších aktualizácií pre Windows všetky podporované verzie balíka Windows, nie sú potrebné žiadne ďalšie zmeny konfigurácie. Nepodporované verzie Windows by mali byť zrušené alebo inovované na podporovanú verziu.
Poznámka CVE-2021-33757 upravuje len spôsob šifrovania hesiel počas prepravy pri použití konkrétnych rozhraní API protokolu MS-SAMR a osobitne NEUpravujte spôsob ukladania hesiel v čase, keď sú heslá uložené. Ďalšie informácie o šifrovaní hesiel v službe Active Directory a lokálne v databáze SAM (databázy Registry) nájdete v téme Prehľad hesiel.
Ďalšie informácie
-
Vzor zmeny hesla
Aktualizácie upravujú vzor zmeny hesla protokolu pridaním novej metódy zmeny hesla, ktorá bude používať AES.
Stará metóda s RC4
Nová metóda s AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Úplný zoznam ms-SAMR OpNums nájdete v téme Udalosti spracovania správ a pravidlá postupnosti.
-
Vzorka množiny hesiel
Aktualizácie upravujú vzor množiny hesiel protokolu pridaním dvoch nových tried informácií o používateľoch k metóde SamrSetInformationUser2 (Opnum 58). Informácie o hesli môžete nastaviť takto.
Stará metóda s RC4
Nová metóda s AES
SamrSetInformationUser2 (Opnum 58) spolu s UserInternal4InformationNew, ktorý je šifrovaným používateľským heslom s rc4.
SamrSetInformationUser2 (Opnum 58) spolu s UserInternal8Informácie o šifrovanom používateľskom hesle pomocou AES.
SamrSetInformationUser2 (Opnum 58) spolu s UserInternal5InformationNew, ktorý je šifrovaným heslom používateľa s atribútmi RC4 a všetkými ostatnými atribútmi používateľa.
SamrSetInformationUser2 (Opnum 58) spolu s UserInternal7Informácie o šifrovanom hesle pomocou AES a všetkých ostatných používateľských atribútov.
Existujúca metóda SamrConnect5 sa zvyčajne používa na vytvorenie pripojenia medzi klientom SAM a serverom.
Aktualizovaný server teraz vráti nový bit v odpovedi SamrConnect5(), ako je definované v SAMPR_REVISION_INFO_V1.
Hodnota |
Význam |
0x00000010 |
Pri potvrdení klientom táto hodnota pri nastavení označuje, že klient by mal používať šifrovanie AES so štruktúrou SAMPR_ENCRYPTED_PASSWORD_AES na šifrovanie medzipamäte hesiel pri odoslaní cez kábel. Pozrite si téme Používanie šifrovanej siete (sekcia 3.2.2.4) a SAMPR_ENCRYPTED_PASSWORD_AES (sekcia 2.2.6.32). |
Ak aktualizovaný server podporuje AES, klient bude používať nové metódy a nové triedy informácií na operácie s heslom. Ak server tento príznak nevráti alebo ak sa klient neaktualizuje, klient sa vráti späť k predchádzajúcemu šifrovaniu pri použití predchádzajúcich metód s šifrovaním RC4.
Operácie nastavenia hesiel vyžadujú zapisovateľný radič domény (RWDC). Zmeny hesiel preposiela správca domén iba na čítanie (RODC) do RWDC. Ak chcete používať AES, všetky zariadenia musia byť aktualizované. Príklad:
-
Ak sa klient, RODC alebo RWDC neaktualizuje, použije sa šifrovanie RC4.
-
Ak sa aktualizuje klient, RODC a RWDC, použije sa šifrovanie AES.
Aktualizácie z 13. júla 2021 pridávajú do denníka systému štyri nové udalosti, ktoré pomáhajú identifikovať zariadenia, ktoré sa neaktualizujú a pomáhajú zlepšiť zabezpečenie.
-
Pri spustení alebo pri zmene konfigurácie databázy Registry sa zapíše do denníka identifikácia udalosti 16982 alebo 16983.
Identifikácia udalosti 16982Denník udalostí
Systém
Zdroj udalostí
Directory-Services-SAM
Identifikácia udalosti
16982
Úroveň
Informácie
Text správy udalosti
Správca konta zabezpečenia teraz zapisuje udalosti do denníka pre vzdialených klientov, ktorí volajú po zmene staršieho hesla alebo nastavovať metódy RPC. Toto nastavenie môže spôsobiť veľké množstvo správ a na diagnostiku problémov by sa malo používať len na krátky čas.
Denník udalostí
Systém
Zdroj udalostí
Directory-Services-SAM
Identifikácia udalosti
16983
Úroveň
Informácie
Text správy udalosti
Správca konta zabezpečenia teraz zapisuje do denníka pravidelné súhrnné udalosti pre vzdialených klientov, ktorí volajú po zmene staršieho hesla alebo nastavia metódy RPC.
-
Po použití aktualizácie z 13. júla 2021 sa súhrnná udalosť 16984 zapíše do denníka udalostí System každých 60 minút.
Identifikácia udalosti 16984Denník udalostí
Systém
Zdroj udalostí
Directory-Services-SAM
Identifikácia udalosti
16984
Úroveň
Informácie
Text správy udalosti
Správca konta zabezpečenia zistil za posledných 60 minút zmenu staršieho hesla alebo nastavil volania metódy RPC.
-
Po konfigurácii zapisovania udalostí do denníka verbose sa identifikácia udalosti 16985 zapíše do denníka udalostí v systéme vždy, keď sa na zmenu alebo nastavenie hesla konta použije staršia metóda RPC.
Identifikácia udalosti 16985Denník udalostí
Systém
Zdroj udalostí
Directory-Services-SAM
Identifikácia udalosti
16985
Úroveň
Informácie
Text správy udalosti
Správca kont zabezpečenia zistil použitie staršej zmeny alebo nastavovania metódy RPC zo sieťového klienta. Ak chcete používať najnovšiu a bezpečnejší verziu tejto metódy, zvážte inováciu klientskeho operačného systému alebo aplikácie.
Podrobnosti:
Metóda RPC: %1
Sieťová adresa klienta: %2
KLIENTSKY SID: %3
Meno používateľa: %4
Ak chcete zapisovať do denníka ID udalosti 16985, na serveri alebo radiči domény prepnite nasledujúcu hodnotu databázy Registry.
Cesta
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Typ
REG_DWORD
Názov hodnoty
AuditLegacyPasswordRpcMethods
Value data (Údaje hodnoty)
1 = je zapnuté zapisovanie do denníka na verbose
0 alebo not present = verbose logging is disabled. Iba súhrn udalostí. (Predvolené nastavenie)
Ako sa popisuje v článku SamrUnicodeChangePasswordUser4 (číslo 73), pri použití novej metódy SamrUnicodeChangePasswordUser4 budú klient a server používať algoritmus PBKDF2 na odvodenie šifrovacieho a dešifrovacieho kľúča zo starého obyčajného hesla. Je to spôsobené tým, že staré heslo je jediným bežným tajným predsudom, ktorý je známy serveru aj klientovi.
Ďalšie informácie o funkcii PBKDF2 nájdete v téme BCryptDeriveKeyPBKDF2 (bcrypt.h).
Ak musíte vykonať zmenu z dôvodu výkonu a zabezpečenia, môžete upraviť počet iterácií pobočkovej ústredne, ktoré klient používa na zmenu hesla, nastavením nasledujúcej hodnoty databázy Registry v klientovi.
Poznámka: Znížením počtu iterácií pobočkovej ústredneDF2 sa zníži úroveň zabezpečenia. Neodporúčame, aby sa číslo z predvoleného čísla zmenšilo. Odporúčame však použiť najvyšší možný počet iterácií pobočkovej ústredne.
Cesta |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Typ |
REG_DWORD |
Názov hodnoty |
PBKDF2Iterations |
Value data (Údaje hodnoty) |
Minimálne 5 000 až maximálne 1 000 000 |
Predvolená hodnota |
10,000 |
Poznámka: PbKDF2 sa nepoužíva pri operáciach nastavovania hesiel. Pri operáciách na nastavenie hesiel je kľúč relácie SMB zdieľaný kľúč medzi klientom a serverom a používa sa ako základ na odvodenie šifrovacích kľúčov.
Ďalšie informácie nájdete v téme Získanie kľúča relácie SMB.
Najčastejšie otázky
Prechod na staršiu verziu sa môže stať vtedy, ak server alebo klient nepodporuje staršiu verziu služby AES.
Aktualizované servery zapisia udalosti do denníka pri použití starších metód s protokolom RC4.
V súčasnosti nie je k dispozícii žiaden režim vynútenia, no v budúcnosti sa môže nachádzať. Nemáme dátum.
Ak zariadenie od tretej strany protokol SAMR nepoužíva, nie je to dôležité. Túto možnosť môžu implementovať dodávatelia tretích strán, ktorí implementujú protokol MS-SAMR. V prípade otázok sa obráťte na dodávateľa tretej strany.
Nie sú potrebné žiadne ďalšie zmeny.
Tento protokol je starší a predpokladáme, že jeho používanie je veľmi nízke. Staršie aplikácie môžu používať tieto rozhrania API. Niektoré nástroje služby Active Directory, ako napríklad POUŽÍVATELIA SLUŽBY AD a počítače, používajú nástroj SAMR.
nie. Ovplyvnené budú iba zmeny hesiel, ktoré používajú tieto konkrétne rozhrania API SAMR.
áno. PBKDF2 je drahší ako RC4. Ak sa na radiči domény, ktorý volá Rozhranie SamrUnicodeChangePasswordUser4 API, vyskytuje množstvo zmien hesiel, môže to mať vplyv na zaťaženie procesora systému LSASS. Ak je to potrebné, môžete naladiť iterácie pobočkovej ústredneDF2 v prípade potreby, ale neodporúčame zníženie z predvoleného, pretože by to bolo nižšie zabezpečenie.
Odkazy
Overené šifrovanie pomocou AES-CBC a HMAC-SHA
Používanie Šifrovanej šifrovanej aES
Vyhlásenie o produktoch iných výrobcov
Na vyhľadanie technickej podpory vám poskytujeme kontaktné informácie tretích strán. Tieto kontaktné informácie sa môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.