Tóm tắt

Các bản cập nhật 13/07/2021 Windows và các bản cập Windows bổ sung bảo vệ cho CVE-2021-33757.

Sau khi cài đặt các bản cập nhật Windows 13/07/2021 hoặc các bản cập nhật Windows mới hơn, mã hóa Tiêu chuẩn Mã hóa Nâng cao (AES) sẽ là phương pháp được ưa dùng trên máy khách Windows khi sử dụng giao thức MS-SAMR kế thừa cho các thao tác mật khẩu nếu mã hóa AES được máy chủ SAM hỗ trợ. Nếu máy chủ SAM không hỗ trợ mã hóa AES, mã hóa RC4 kế thừa sẽ được cho phép.

Những thay đổi trong CVE-20201-33757 dành riêng cho giao thức MS-SAMR và độc lập với các giao thức xác thực khác. MS-SAMR sử dụng SMB qua RPC và đường ống đã đặt tên. Mặc dù SMB cũng hỗ trợ mã hóa, nhưng nó không được bật theo mặc định. Theo mặc định, các thay đổi trong CVE-20201-33757 được bật và cung cấp bảo mật bổ sung ở lớp SAM. Không yêu cầu thay đổi cấu hình bổ sung nào ngoài việc cài đặt các bảo vệ cho CVE-20201-33757 được bao gồm trong các bản cập nhật Windows 13/07/2021 hoặc các bản cập nhật Windows mới hơn trên mọi phiên bản được hỗ trợ của Windows. Các phiên bản không được hỗ Windows nên ngừng cung cấp hoặc nâng cấp lên phiên bản được hỗ trợ.

Lưu ýCVE-2021-33757 chỉ sửa đổi cách mã hóa mật khẩu trong quá trình truyền khi sử dụng các API cụ thể của giao thức MS-SAMR và đặc biệt KHÔNG sửa đổi cách lưu trữ mật khẩu. Để biết thêm thông tin về cách mã hóa mật khẩu khi lưu trữ trong Active Directory và cục bộ trong Cơ sở dữ liệu SAM (sổ đăng ký), hãy xem Tổng quan về Mật khẩu.

Thông tin Bổ sung 

Phương pháp SamrConnect5 hiện có thường được sử dụng để thiết lập kết nối giữa máy khách SAM và máy chủ.

Giờ đây, máy chủ cập nhật sẽ trả về một bit mới trong phản hồi SamrConnect5() như được xác định SAMPR_REVISION_INFO_V1. 

Giá trị

Ý nghĩa

0x00000010

Khi nhận bởi máy khách, giá trị này, khi đặt, cho biết rằng máy khách nên sử dụng Mã hóa AES với cấu trúc SAMPR_ENCRYPTED_PASSWORD_AES để mã hóa bộ đệm mật khẩu khi được gửi qua dây. Xem Mức sử dụng Mã VII (phần 3.2.2.4) SAMPR_ENCRYPTED_PASSWORD_AES (phần 2.2.6.32).

Nếu máy chủ cập nhật hỗ trợ AES, máy khách sẽ sử dụng các phương pháp mới và lớp thông tin mới cho hoạt động mật khẩu. Nếu máy chủ không trả về cờ này hoặc nếu máy khách không được cập nhật, máy khách sẽ quay trở lại dùng phương pháp trước với mã hóa RC4.

Các thao tác Tập Mật khẩu yêu cầu bộ điều khiển tên miền có thể ghi được (RWDC). Thay đổi mật khẩu được chuyển tiếp bởi Bộ điều khiển Tên miền Chỉ Đọc (NHAUC) đến RWDC. Tất cả các thiết bị phải được cập nhật để sử dụng AES. Ví dụ:

  • Nếu máy khách, SSLC hoặc RWDC không được cập nhật, mã hóa RC4 sẽ được dùng.

  • Nếu máy khách, SSLC và RWDC được cập nhật, mã hóa AES sẽ được sử dụng.

Các bản cập nhật vào 13/07/2021 sẽ thêm bốn sự kiện mới vào nhật ký hệ thống để giúp xác định những thiết bị không được cập nhật và giúp cải thiện tính bảo mật.

  • Trạng thái cấu hình ID Sự kiện 16982 hoặc 16983 được đăng nhập vào việc khởi động hoặc khi thay đổi cấu hình sổ đăng ký.ID Sự kiện 16982

    Nhật ký sự kiện

    Hệ thống

    Nguồn sự kiện

    Directory-Services-SAM

    ID Sự kiện

    16982

    Cấp độ

    Thông tin

    Văn bản tin nhắn sự kiện

    Trình quản lý tài khoản bảo mật hiện ghi nhật ký sự kiện diễn giải cho máy khách từ xa gọi thay đổi mật khẩu thừa tự hoặc đặt phương pháp RPC. Thiết đặt này có thể gây ra một lượng lớn thư và chỉ nên được sử dụng trong một khoảng thời gian ngắn để chẩn đoán các vấn đề.

    ID Sự kiện 16983

    Nhật ký sự kiện

    Hệ thống

    Nguồn sự kiện

    Directory-Services-SAM

    ID Sự kiện

    16983

    Cấp độ

    Thông tin

    Văn bản tin nhắn sự kiện

    Trình quản lý tài khoản bảo mật hiện ghi nhật ký các sự kiện tóm tắt định kỳ cho máy khách từ xa gọi thay đổi mật khẩu thừa tự hoặc đặt phương pháp RPC.

  • Sau khi áp dụng bản cập nhật 13/07/2021, một Sự kiện Tóm tắt 16984 được ghi nhật ký vào nhật ký sự kiện Hệ thống cứ 60 phút một lần.ID Sự kiện 16984

    Nhật ký sự kiện

    Hệ thống

    Nguồn sự kiện

    Directory-Services-SAM

    ID Sự kiện

    16984

    Cấp độ

    Thông tin

    Văn bản tin nhắn sự kiện

    Người quản lý tài khoản bảo mật đã phát hiện thay đổi mật khẩu thừa tự % x hoặc đặt cuộc gọi phương thức RPC trong 60 phút qua.

  • Sau khi đặt cấu hình nhật ký sự kiện chi tiết, ID Sự kiện 16985 được ghi nhật ký vào nhật ký sự kiện Hệ thống mỗi khi sử dụng phương pháp RPC thừa tự để thay đổi hoặc đặt mật khẩu tài khoản.ID Sự kiện 16985

    Nhật ký sự kiện

    Hệ thống

    Nguồn sự kiện

    Directory-Services-SAM

    ID Sự kiện

    16985

    Cấp độ

    Thông tin

    Văn bản tin nhắn sự kiện

    Trình quản lý tài khoản bảo mật đã phát hiện việc sử dụng thay đổi thừa tự hoặc đặt phương pháp RPC từ máy khách mạng. Hãy cân nhắc nâng cấp hệ điều hành máy khách hoặc ứng dụng để sử dụng phiên bản mới nhất và bảo mật hơn của phương pháp này.

    Chi tiết:

    Phương pháp RPC: %1

    Địa chỉ Mạng Máy khách: %2

    Client SID: %3

    Tên người dùng: %4 

    Để ghi nhật ký ID sự kiện verbose 16985, hãy chuyển đổi giá trị sổ đăng ký sau đây trên máy chủ hoặc bộ điều khiển miền.

    Đường dẫn

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Nhập

    REG_DWORD

    Tên giá trị

    AuditLegacyPasswordRpcMethods

    Dữ liệu giá trị

     1 = ghi nhật ký động từ được bật

     0 hoặc không hiện diện = ghi nhật ký quá trình diễn giải đã bị tắt. Chỉ các sự kiện tóm tắt. (Mặc định)

Như mô tả trong SamrUnicodeChangePasswordUser4 (Opnum 73), khi bạn sử dụng phương pháp SamrUnicodeChangePasswordUser4 mới, máy khách và máy chủ sẽ sử dụng Giải thuật PBKDF2 để lấy mã hóa và khóa giải mã từ mật khẩu cũ văn bản thuần. Điều này là do mật khẩu cũ là bí mật phổ biến duy nhất được biết đến với cả máy chủ và máy khách.  

Để biết thêm thông tin về PBKDF2, hãy xem hàm BCryptDeriveKeyPBKDF2 (bcrypt.h).

Nếu bạn phải thực hiện thay đổi vì lý do hiệu năng và bảo mật, bạn có thể điều chỉnh số lượng các lần ghi lại PBKDF2 mà máy khách sử dụng để thay đổi mật khẩu bằng cách đặt giá trị sổ đăng ký sau đây trên máy khách.

Lưu ý: Việc giảm số lần xuất hiện của PBKDF2 sẽ làm giảm bảo mật.  Chúng tôi khuyên bạn không nên giảm số từ mặc định. Tuy nhiên, chúng tôi khuyên bạn nên sử dụng số lần ghi lại PBKDF2 cao nhất có thể.

Đường dẫn 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Nhập 

REG_DWORD 

Tên giá trị 

PBKDF2Iterations 

Dữ liệu giá trị 

Tối thiểu là 5.000 đến tối đa 1.000.000

Giá trị mặc định 

10,000  

Lưu ý: PBKDF2 không được sử dụng cho các thao tác đặt mật khẩu. Đối với các thao tác đặt mật khẩu, khóa phiên SMB là bí mật chung giữa máy khách và máy chủ và được sử dụng làm cơ sở cho việc lấy khóa mã hóa. 

Để biết thêm thông tin, hãy xem Mua Khóa Phiên SMB.

Câu hỏi Thường Gặp (Câu hỏi Thường Gặp)

Giảm cấp xảy ra khi máy chủ hoặc máy khách không hỗ trợ AES.   

Máy chủ cập nhật sẽ ghi nhật ký các sự kiện khi các phương pháp kế thừa với RC4 được sử dụng. 

Hiện không có chế độ thực thi nào nhưng có thể sẽ xảy ra trong tương lai. Chúng tôi không có ngày nào. 

Nếu một thiết bị của bên thứ ba không sử dụng giao thức SAMR thì điều này không quan trọng. Các nhà cung cấp bên thứ ba thực thi giao thức MS-SAMR có thể chọn thực thi điều này. Hãy liên hệ với nhà cung cấp bên thứ ba để biết bất kỳ câu hỏi nào. 

Không yêu cầu thêm thay đổi nào.  

Giao thức này là thừa tự và chúng tôi dự kiến việc sử dụng giao thức này là rất thấp. Các ứng dụng kế thừa có thể sử dụng các API này. Ngoài ra, một số công cụ Active Directory như Người dùng AD và Máy tính MMC sử dụng SAMR.

Không. Chỉ những thay đổi về mật khẩu sử dụng các API SAMR cụ thể này mới bị ảnh hưởng.

Có. PBKDF2 có giá cao hơn RC4. Nếu có nhiều thay đổi mật khẩu xảy ra cùng lúc trên bộ điều khiển miền gọi API SamrUnicodeChangePasswordUser4, thì tải LSASS CPU có thể bị ảnh hưởng. Bạn có thể điều chỉnh các lần ghi lại PBKDF2 trên máy khách nếu cần, tuy nhiên, chúng tôi khuyên bạn không nên giảm dẫu giá trị mặc định vì điều này có thể làm giảm độ bảo mật thấp hơn.  

Tham khảo

Mã hóa Được xác thực với AES-CBC và HMAC-SHA

Mức sử dụng Mã bản quyền AES

Tuyên bố miễn trừ trách nhiệm thông tin của bên thứ ba

Chúng tôi cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.