สรุป

การอัปเดตวันที่ 13 กรกฎาคม 2021 Windowsและการอัปเดตที่ใหม่กว่าWindowsเพิ่มการป้องกันCVE-2021-33757

หลังจากติดตั้งการอัปเดต Windows ในวันที่ 13 กรกฎาคม 2021 หรือการอัปเดต Windows ที่ใหม่กว่า การเข้ารหัสลับการเข้ารหัสลับขั้นสูง (AES) จะเป็นวิธีที่ต้องการบนไคลเอ็นต์ Windows เมื่อใช้โพรโทคอลMS-SAMRดั้งเดิมในการดําเนินการรหัสผ่าน ถ้าการเข้ารหัสลับ AES ได้รับการสนับสนุนโดยเซิร์ฟเวอร์ SAM ถ้าเซิร์ฟเวอร์ SAM ไม่สนับสนุนการเข้ารหัสลับ AES จะสามารถใช้การเข้ารหัสลับ RC4 แบบดั้งเดิมได้

การเปลี่ยนแปลงใน CVE-20201-33757 จะเฉพาะเจาะจงกับโพรโทคอล MS-SAMR และเป็นอิสระจากโพรโทคอลการรับรองความถูกต้องอื่นๆ MS-SAMR ใช้ SMB บน RPC และไปป์ที่มีชื่อ แม้ว่า SMB จะสนับสนุนการเข้ารหัสลับด้วย แต่จะไม่เปิดใช้งานตามค่าเริ่มต้น ตามค่าเริ่มต้น การเปลี่ยนแปลงใน CVE-20201-33757 จะเปิดใช้งานและมอบความปลอดภัยเพิ่มเติมที่ชั้น SAM ไม่มีการเปลี่ยนแปลงการกําหนดค่าเพิ่มเติมที่นอกเหนือจากการป้องกันการติดตั้งของCVE-20201-33757ที่รวมอยู่ในการอัปเดต Windows ของวันที่ 13 กรกฎาคม 2021 หรือ Windows ที่ใหม่กว่าใน Windows เวอร์ชันที่สนับสนุนทั้งหมด เวอร์ชันที่ไม่สนับสนุนของ Windowsควรถูกยกเลิกหรืออัปเกรดเป็นเวอร์ชันที่สนับสนุน

หมายเหตุ CVE-2021-33757 จะปรับเปลี่ยนเฉพาะวิธีที่รหัสผ่านถูกเข้ารหัสลับระหว่างการถ่ายโอนเมื่อใช้ API เฉพาะของโพรโทคอล MS-SAMR และอย่าปรับเปลี่ยนวิธีที่รหัสผ่านถูกเก็บไว้ที่ส่วนที่เหลือโดยเฉพาะ For more information about how passwords are encrypted at rest in Active Directory and locally in the SAM Database (registry), see Passwords Overview.

ข้อมูลเพิ่มเติม  

  • รูปแบบการเปลี่ยนรหัสผ่าน

    การอัปเดตจะปรับเปลี่ยน รูปแบบของการเปลี่ยนแปลง รหัสผ่านของโพรโทคอลด้วยการเพิ่ม วิธีการเปลี่ยนรหัสผ่าน ใหม่ที่จะใช้ AES

    วิธีการแบบเก่าที่มี RC4

    วิธีใหม่ด้วย AES

    SamrUnicodeChangePasswordUser2 (OpNum 55)

    SamrUnicodeChangePasswordUser4 (OpNum 73)

    For complete list of MS-SAMR OpNums, see Message Processing Events and Sequencing Rules.

  • รูปแบบชุดรหัสผ่าน

    การอัปเดตจะปรับเปลี่ยน รูปแบบชุดรหัสผ่าน ของโพรโทคอลด้วยการเพิ่มคลาส ข้อมูล ผู้ใช้ใหม่สองประเภทลงในวิธีการ SamrSetInformationUser2 (Opnum 58) คุณสามารถตั้งค่าข้อมูลรหัสผ่านได้ดังนี้

    วิธีการแบบเก่าที่มี RC4

    วิธีใหม่ด้วย AES

    SamrSetInformationUser2 (Opnum 58) พร้อมด้วย UserInternal4InformationNew ซึ่งมีรหัสผ่านผู้ใช้ที่เข้ารหัสลับพร้อมด้วย RC4

    SamrSetInformationUser2 (Opnum 58) พร้อมด้วยUserInternal8Information ที่มีรหัสผ่านผู้ใช้ที่เข้ารหัสลับกับ AES

    SamrSetInformationUser2 (Opnum 58) ร่วมกับUserInternal5InformationNew ซึ่งมีรหัสผ่านผู้ใช้ที่เข้ารหัสลับที่มี RC4 และแอตทริบิวต์ผู้ใช้อื่นๆ ทั้งหมด

    SamrSetInformationUser2 (Opnum 58) พร้อมด้วยUserInternal7Information ที่มีรหัสผ่านที่เข้ารหัสลับที่มี AES และแอตทริบิวต์อื่นๆ ของผู้ใช้ทั้งหมด

โดยทั่วไปแล้ว เมธอด SamrConnect5 ที่มีอยู่จะใช้เพื่อสร้างการเชื่อมต่อระหว่างไคลเอ็นต์ SAM และเซิร์ฟเวอร์

เซิร์ฟเวอร์ที่อัปเดตจะส่งกลับบิตใหม่ในการตอบกลับ SamrConnect5() ตามที่กําหนดไว้ในSAMPR_REVISION_INFO_V1 

ค่า

ความหมาย

0x00000010

เมื่อได้รับโดยไคลเอ็นต์ ค่านี้ เมื่อตั้งค่าระบุว่าไคลเอ็นต์ควรใช้การเข้ารหัสลับ AES กับโครงสร้าง SAMPR_ENCRYPTED_PASSWORD_AES เพื่อเข้ารหัสลับบัฟเฟอร์รหัสผ่านเมื่อส่งผ่านสาย ดูการใช้ Cipher AES (ส่วน3.2.2.4) SAMPR_ENCRYPTED_PASSWORD_AES (ส่วน 2.2.6.32)

ถ้าเซิร์ฟเวอร์ที่อัปเดตสนับสนุน AES ไคลเอ็นต์จะใช้วิธีใหม่และคลาสข้อมูลใหม่ในการดําเนินการรหัสผ่าน ถ้าเซิร์ฟเวอร์ไม่ส่งกลับค่าสถานะนี้ หรือถ้าไคลเอ็นต์ไม่ได้รับการอัปเดต ไคลเอ็นต์จะกลับไปใช้วิธีก่อนหน้าด้วยการเข้ารหัสลับ RC4

การดําเนินการชุดรหัสผ่านต้องใช้ตัวควบคุมโดเมนแบบเขียนได้ (RWDC) การเปลี่ยนแปลงรหัสผ่านจะถูกส่งต่อโดยตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RWC) ไปยัง RWDC อุปกรณ์ทั้งหมดต้องได้รับการอัปเดตเพื่อให้ AES ใช้งาน ตัวอย่างเช่น:

  • ถ้าไคลเอ็นต์, RWC หรือ RWDC ไม่ได้รับการอัปเดต จะมีการใช้การเข้ารหัสลับ RC4

  • ถ้าไคลเอ็นต์, RWC และ RWDC ได้รับการอัปเดต จะใช้การเข้ารหัสลับ AES

การอัปเดตเมื่อ 13 กรกฎาคม 2021 เพิ่มเหตุการณ์ใหม่สี่เหตุการณ์ลงในบันทึกของระบบเพื่อช่วยระบุอุปกรณ์ที่ไม่ได้รับการอัปเดตและช่วยปรับปรุงความปลอดภัย

  • ID เหตุการณ์สถานะการกําหนดค่า 16982 หรือ 16983 ถูกบันทึกเมื่อเริ่มต้นระบบหรือเมื่อมีการเปลี่ยนแปลงการกําหนดค่ารีจิสทรีID เหตุการณ์ 16982

    บันทึกเหตุการณ์

    ระบบ

    แหล่งเหตุการณ์

    Directory-Services-SAM

    ID เหตุการณ์

    16982

    ระดับ

    ข้อมูล

    ข้อความเหตุการณ์

    ในตอนนี้ ตัวจัดการบัญชีความปลอดภัยจะบันทึกเหตุการณ์การใช้เสียงฟุ่มเฟยของไคลเอ็นต์ระยะไกลที่เรียกใช้การเปลี่ยนรหัสผ่านแบบดั้งเดิมหรือตั้งค่าวิธี RPC การตั้งค่านี้อาจทําให้ข้อความจํานวนมากและควรใช้ในช่วงเวลาสั้นๆ เพื่อวินิจฉัยปัญหาเท่านั้น

    ID เหตุการณ์ 16983

    บันทึกเหตุการณ์

    ระบบ

    แหล่งเหตุการณ์

    Directory-Services-SAM

    ID เหตุการณ์

    16983

    ระดับ

    ข้อมูล

    ข้อความเหตุการณ์

    ในตอนนี้ ตัวจัดการบัญชีความปลอดภัยจะบันทึกเหตุการณ์สรุปแบบคาบเวลาส่างๆ ของไคลเอ็นต์ระยะไกลที่เรียกใช้การเปลี่ยนรหัสผ่านแบบดั้งเดิมหรือตั้งค่าวิธี RPC

  • หลังจากใช้การอัปเดตวันที่ 13 กรกฎาคม 2021 เหตุการณ์สรุป 16984 จะถูกบันทึกไปยังบันทึกเหตุการณ์ของระบบทุกๆ 60 นาทีID เหตุการณ์ 16984

    บันทึกเหตุการณ์

    ระบบ

    แหล่งเหตุการณ์

    Directory-Services-SAM

    ID เหตุการณ์

    16984

    ระดับ

    ข้อมูล

    ข้อความเหตุการณ์

    ตัวจัดการบัญชีความปลอดภัยตรวจพบการเปลี่ยนรหัสผ่านดั้งเดิม %x หรือตั้งค่าวิธีการ RPC ใน 60 นาทีที่ผ่านมา

  • หลังจากกําหนดค่าการบันทึกเหตุการณ์แบบ verbose ID เหตุการณ์ 16985 จะถูกบันทึกไปยังแฟ้มบันทึกเหตุการณ์ของระบบทุกครั้งที่มีการใช้วิธี RPC แบบดั้งเดิมเพื่อเปลี่ยนแปลงหรือตั้งค่ารหัสผ่านบัญชีID เหตุการณ์ 16985

    บันทึกเหตุการณ์

    ระบบ

    แหล่งเหตุการณ์

    Directory-Services-SAM

    ID เหตุการณ์

    16985

    ระดับ

    ข้อมูล

    ข้อความเหตุการณ์

    ตัวจัดการบัญชีความปลอดภัยตรวจพบการใช้การเปลี่ยนแปลงแบบดั้งเดิมหรือตั้งค่าวิธีการ RPC จากไคลเอ็นต์เครือข่าย พิจารณาอัปเกรดระบบปฏิบัติการไคลเอ็นต์หรือแอปพลิเคชันเพื่อใช้วิธีนี้เวอร์ชันล่าสุดและปลอดภัยยิ่งขึ้น

    รายละเอียด:

    วิธีการ RPC: %1

    ที่อยู่เครือข่ายไคลเอ็นต์: %2

    SID ไคลเอ็นต์: %3

    ชื่อผู้ใช้: %4 

    เมื่อต้องการบันทึก Id เหตุการณ์ 16985 แบบใช้เสียง ให้สลับค่ารีจิสทรีต่อไปนี้บนเซิร์ฟเวอร์หรือตัวควบคุมโดเมน

    เส้นทาง

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    ชนิด

    REG_DWORD

    ชื่อค่า

    AuditLegacyPasswordRpcMethods

    ข้อมูลค่า

     1 = เปิดใช้งานการบันทึกแบบใช้กริยา

     0 หรือไม่แสดง = การบันทึกด้วยวาจาจะถูกปิดใช้งาน เหตุการณ์สรุปเท่านั้น (ค่าเริ่มต้น)

ตามที่อธิบายไว้ในSamrUnicodeChangsPasswordUser4 (Opnum 73) เมื่อคุณใช้วิธี SamrUnicodeChangsPasswordUser4 ใหม่ ไคลเอ็นต์และเซิร์ฟเวอร์จะใช้อัลกอริทึม PBKDF2 เพื่อเข้ารหัสลับและถอดรหัสลับจากรหัสผ่านเก่าข้อความธรรมดา เนื่องจากรหัสผ่านเก่าเป็นเพียงความลับทั่วไปเท่านั้นที่ทราบทั้งเซิร์ฟเวอร์และไคลเอ็นต์  

For more information about PBKDF2, see BCryptDeriveKeyPBKDF2 function (bcrypt.h).

ถ้าคุณต้องเปลี่ยนแปลงประสิทธิภาพและเหตุผลด้านความปลอดภัย คุณสามารถปรับจํานวนการคํานวณใหม่ PBKDF2 ที่ไคลเอ็นต์ใช้เพื่อเปลี่ยนรหัสผ่านโดยการตั้งค่ารีจิสทรีต่อไปนี้บนไคลเอ็นต์

หมายเหตุ: การลดจํานวนครั้งของการ iterations PBKDF2 จะลดความปลอดภัย  เราไม่แนะนนะให้ตัวเลขลดลงจากค่าเริ่มต้น อย่างไรก็ตาม เราขอแนะนนะให้คุณใช้จํานวนการป้อน PBKDF2 ครั้งสูงสุดที่เป็นไปได้

เส้นทาง 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

ชนิด 

REG_DWORD 

ชื่อค่า 

PBKDF2Iterations 

ข้อมูลค่า 

อย่างน้อย 5,000 ถึงสูงสุด 1,000,000

ค่าเริ่มต้น 

10,000  

หมายเหตุ: PBKDF2 จะไม่ถูกใช้ในการดําเนินการชุดรหัสผ่าน For password set operations the SMB session key is the shared secret between client and server and used as the basis for deriving encryption keys. 

For more information, see acquiring an SMB Session Key.

ถามที่ถามบ่อย (FAQ)

การดาวน์เกรดจะเกิดขึ้นเมื่อเซิร์ฟเวอร์หรือไคลเอ็นต์ไม่สนับสนุน AES   

เซิร์ฟเวอร์ที่อัปเดตจะบันทึกเหตุการณ์เมื่อใช้วิธีการดั้งเดิมด้วย RC4 

ในขณะนี้ยังไม่มีโหมดการบังคับใช้ที่พร้อมใช้งาน แต่อาจมีในอนาคต เราไม่มีวันที่ 

ถ้าอุปกรณ์ของบริษัทอื่นไม่ได้ใช้โพรโทคอล SAMR นี่จะไม่สําคัญ ผู้จัดซื้อของบริษัทอื่นที่ปรับใช้โพรโทคอล MS-SAMR อาจเลือกที่จะปรับใช้โพรโทคอลนี้ ติดต่อผู้จัดซื้อของบริษัทอื่นเพื่อสอบถามข้อสงสัย 

ไม่ต้องมีการเปลี่ยนแปลงเพิ่มเติม  

โพรโทคอลนี้เป็นรุ่นดั้งเดิม และเราคาดว่าการใช้งานจะต่่ามาก แอปพลิเคชันดั้งเดิมอาจใช้ API เหล่านี้ นอกจากนี้ เครื่องมือ Active Directory บางอย่าง เช่น ผู้ใช้ AD และคอมพิวเตอร์ MMC จะใช้ SAMR

ไม่ใช่ เฉพาะการเปลี่ยนแปลงรหัสผ่านที่ใช้ API SAMR ที่เฉพาะเจาะจงเหล่านี้เท่านั้นที่จะได้รับผลกระทบ

ใช่ PBKDF2 นั้นมีค่าใช้จ่ายมากกว่า RC4 ถ้ามีการเปลี่ยนรหัสผ่านหลายครั้งในเวลาเดียวกันบนตัวควบคุมโดเมนที่เรียก SamrUnicodeChangedPasswordUser4 API การโหลด CPU ของ LSASS อาจได้รับผลกระทบ คุณสามารถปรับการ Iterations PBKDF2 บนไคลเอ็นต์ได้ ถ้าจําเป็น อย่างไรก็ตาม เราไม่แนะนะให้ลดจากค่าเริ่มต้น เนื่องจากค่านี้จะลดความปลอดภัยลง  

อ้างอิง

การเข้ารหัสลับที่ได้รับการรับรองความถูกต้องด้วย AES-CBC และ HMAC-SHA

การใช้การเข้ารหัส AES

การจำกัดความรับผิดต่อข้อมูลของบุคคลที่สาม

เราให้ข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยให้คุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับประกันความถูกต้องของข้อมูลที่ติดต่อของบริษัทอื่นนี้

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย