Sammanfattning
Uppdateringarna från den 13 juli 2021 Windows uppdateringar och senare Windows till skydd för CVE-2021-33757.
När du har installerat Windows-uppdateringarna från den 13 juli 2021 eller senare Windows-uppdateringar blir AES-kryptering (Advanced Encryption Standard) den rekommenderade metoden för Windows-klienter när du använder det äldre MS-SAMR-protokollet för lösenordsåtgärder om AES-kryptering stöds av SAM-servern. Om AES-kryptering inte stöds av SAM-servern tillåts återställning till den äldre RC4-krypteringen.
Ändringar i CVE-20201-33757 är specifika för MS-SAMR-protokollet och är oberoende av andra autentiseringsprotokoll. MS-SAMR använder SMB över RPC och namngivna rör. Även om SMB också har stöd för kryptering är det inte aktiverat som standard. Som standard är ändringarna i CVE-20201-33757 aktiverade och ger ytterligare säkerhet i SAM-lagret. Inga ytterligare konfigurationsändringar krävs utöver installationsskyddet för CVE-20201-33757 som ingår i Windows-uppdateringarna från den 13 juli 2021 eller senare Windows-uppdateringar för alla versioner av Windows som stöds. Versioner av versioner av Windows ska ha utgått eller uppgraderats till en version som stöds.
Obs! I CVE-2021-33757 ändras bara hur lösenord krypteras under överföringen när specifika API:er för MS-SAMR-protokollet används, och särskilt ÄNDRA INTE hur lösenord lagras i vila. Mer information om hur lösenord krypteras i vila i Active Directory och lokalt i SAM-databasen (registret) finns i Avsnittet Lösenordsöversikt.
Mer information
-
Mönster för lösenordsändring
Uppdateringarna ändrar mönstret för lösenordsändring i protokollet genom att lägga till en ny metod för lösenordsändring som använder AES.
Gammal metod med RC4
Ny metod med AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
En fullständig lista över MS-SAMR OpNums finns i Meddelandebearbetningshändelser och Sekventringsregler.
-
Mönster för lösenordsuppsättning
Uppdateringarna ändrar mönstret för lösenordsuppsättningenför protokollet genom att lägga till två nya användarinformationsklasser till samrSetInformationUser2-metoden (Opnum 58). Du kan ange lösenordsinformation på följande sätt.
Gammal metod med RC4
Ny metod med AES
SamrSetInformationUser2 (Opnum 58) tillsammans med UserInternal4InformationNew som innehåller ett krypterat användarlösenord med RC4.
SamrSetInformationUser2 (Opnum 58) tillsammans med UserInternal8Information som innehåller ett krypterat användarlösenord med AES.
SamrSetInformationUser2 (Opnum 58) tillsammans med UserInternal5InformationNew som innehåller ett krypterat användarlösenord med RC4 och alla andra användarattribut.
SamrSetInformationUser2 (Opnum 58) tillsammans med UserInternal7Information som innehåller ett krypterat lösenord med AES och alla andra användarattribut.
Den befintliga SamrConnect5-metoden används vanligtvis för att upprätta en anslutning mellan SAM-klienten och servern.
En uppdaterad server returnerar nu en ny bit i SamrConnect5()-svaret enligt SAMPR_REVISION_INFO_V1 .
Värde |
Betydelse |
0x00000010 |
När klienten har mottagit det här värdet anger det här värdet, när det har ställts in, att klienten ska använda AES-kryptering med SAMPR_ENCRYPTED_PASSWORD_AES-strukturen för att kryptera lösenordsbuffert när det skickas via kabel. Se AES-chifferanvändning (avsnitt 3.2.2.4) och SAMPR_ENCRYPTED_PASSWORD_AES (avsnitt 2.2.6.32). |
Om den uppdaterade servern har stöd för AES använder klienten nya metoder och nya informationsklasser för lösenordsåtgärder. Om servern inte returnerar den här flaggan eller om klienten inte uppdateras återgår klienten till att använda tidigare metoder med RC4-kryptering.
För åtgärder för lösenordsuppsättning krävs en skrivbar domänkontrollant (RWDC). Lösenordsändringar vidarebefordras av den skrivskyddade domänkontrollanten (RWC) till en RWDC. Alla enheter måste uppdateras för att AES ska kunna användas. Till exempel:
-
Om klienten, RWC eller RWDC inte uppdateras används RC4-kryptering.
-
Om klienten, BINÄRC och RWDC uppdateras används AES-kryptering.
Uppdateringarna från 13 juli 2021 lägger till fyra nya händelser i systemloggen för att hjälpa till att identifiera enheter som inte uppdateras och bidrar till att förbättra säkerheten.
-
Konfigurationstillstånd Händelse-ID 16982 eller 16983 loggas vid start eller vid en ändring av registerkonfigurationen.
Händelse-ID 16982Händelselogg
System
Händelsekälla
Directory-Services-SAM
Händelse-ID
16982
Nivå
Information
Text i händelsemeddelande
Säkerhetskontohanteraren loggning nu utförliga händelser för fjärrklienter som anropar äldre lösenordsändring eller anger RPC-metoder. Den här inställningen kan orsaka ett stort antal meddelanden och bör endast användas under en kort tidsperiod för att diagnostisera problem.
Händelselogg
System
Händelsekälla
Directory-Services-SAM
Händelse-ID
16983
Nivå
Information
Text i händelsemeddelande
Säkerhetskontohanteraren loggar nu periodiska sammanfattningshändelser för fjärrklienter som anropar äldre lösenordsändring eller anger RPC-metoder.
-
När du har tillämpat uppdateringen från 13 juli 2021 loggas en sammanfattningshändelse 16984 i systemhändelseloggen var 60:e minut.
Händelse-ID 16984Händelselogg
System
Händelsekälla
Directory-Services-SAM
Händelse-ID
16984
Nivå
Information
Text i händelsemeddelande
Säkerhetskontohanteraren upptäckte %x äldre lösenordsändring eller konfigurerade RPC-metodanrop under de senaste 60 minuterna.
-
När du har konfigurerat utförlig händelseloggning loggas Händelse-ID 16985 i systemhändelseloggen varje gång en äldre RPC-metod används för att ändra eller ange ett kontolösenord.
Händelse-ID 16985Händelselogg
System
Händelsekälla
Directory-Services-SAM
Händelse-ID
16985
Nivå
Information
Text i händelsemeddelande
Säkerhetskontohanteraren upptäckte att en äldre ändring eller APC-metod från en nätverksklient används. Du kan uppgradera klientoperativsystemet eller programmet för att kunna använda den senaste och säkrare versionen av den här metoden.
Information:
RPC-metod: %1
Klientnätverksadress: %2
Klient-SID: %3
Användarnamn: %4
Om du vill logga utförligt händelse-ID 16985 växlar du följande registervärde på servern eller domänkontrollanten.
Sökväg
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Typ
REG_DWORD
Värdenamn
AuditLegacyPasswordRpcMethods
Värdedata
1 = Utförlig loggning har aktiverats
0 eller inte finns = utförlig loggning är inaktiverat. Endast sammanfattningshändelser. (Standard)
Enligt beskrivningen i SamrUnicodeChangePasswordUser4 (Opnum 73) kommer klienten och servern att använda PBKDF2-algoritmen för att härleda en krypterings- och dekrypteringsnyckel från det oformaterade lösenordet när du använder den nya metoden SamrUnicodeChangePasswordUser4 (Opnum 73). Det beror på att det gamla lösenordet är den enda vanliga hemligheten som är känd för både servern och klienten.
Mer information om PBKDF2 finns i Funktionen BCryptDeriveKeyPBKDF2 (bcrypt.h).
Om du måste göra en ändring av prestanda- och säkerhetsskäl kan du justera antalet PBKDF2-iterationer som används av klienten för lösenordsändring genom att ange följande registervärde på klienten.
Obs!: Om du minskar antalet PBKDF2-iterationer minskar säkerheten. Vi rekommenderar inte att talet minskas från standardvärdet. Vi rekommenderar dock att du använder det högsta antalet PBKDF2-iterationer.
Sökväg |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
Typ |
REG_DWORD |
Värdenamn |
PBKDF2Iterations |
Värdedata |
Minst 5 000 till maximalt 1 000 000 |
Standardvärde |
10,000 |
Obs!: PBKDF2 används inte för lösenordsuppsättningsåtgärder. För lösenordsuppsättningsåtgärder är SMB-sessionsnyckeln den delade hemligheten mellan klient och server och den används som grund för att avklösa krypteringsnycklar.
Mer information finns i Köpa en SMB-sessionsnyckel.
Vanliga frågor och svar
Nedgradering inträffar när servern eller klienten inte har stöd för AES.
Uppdaterade servrar loggar händelser när äldre metoder med RC4 används.
Det finns för närvarande inget läge för tillämpning, men det kan finnas i framtiden. Det finns inget datum.
Om en enhet från tredje part inte använder SAMR-protokollet är detta inte viktigt. Tredjepartsleverantörer som implementerar MS-SAMR-protokollet kan välja att implementera detta. Kontakta tredjepartsleverantören om du har frågor.
Inga ytterligare ändringar krävs.
Det här protokollet är en äldre version och vi räknar med att användningen är mycket låg. Äldre program kan använda dessa API:er. Dessutom använder vissa Active Directory-verktyg, till exempel AD-användare och datorer MMC SAMR.
Nej. Endast lösenordsändringar som använder dessa specifika SAMR-API:er påverkas.
Ja. PBKDF2 är dyrare än RC4. Om det sker många lösenordsändringar samtidigt på domänkontrollanten som anropar SamrUnicodeChangePasswordUser4 API kan CPU-belastningen på LSASS påverkas. Du kan justera PBKDF2-iterationerna på klienter om det behövs, men vi rekommenderar inte att du minskar från standardinställningen eftersom det skulle ge lägre säkerhet.
Referenser
Autentiserad kryptering med AES-CBC och HMAC-SHA
Information om tredje part
Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att den här kontaktinformationen från tredje part är korrekt.