Penting: Tanggal rilis yang sebelumnya diindikasikan dalam artikel ini telah berubah. Harap perhatikan tanggal rilis baru dalam bagian "Ambil tindakan" dan "pengaturan waktu pembaruan Windows ini".
Ringkasan
Kerentanan bypass fitur keamanan ada dalam cara pusat distribusi kunci (KDC) menentukan apakah tiket Layanan Kerberos dapat digunakan untuk delegasi melalui delegasi Kerberos yang dibatasi (KCD). Untuk memanfaatkan kerentanan, Layanan yang disusupi yang dikonfigurasi untuk menggunakan KCD bisa mengutak-atik tiket Layanan Kerberos yang tidak valid untuk delegasi untuk memaksa KDC menerimanya. Pembaruan Windows ini membahas kerentanan ini dengan mengubah cara KDC memvalidasi tiket Layanan Kerberos yang digunakan dengan KCD.
Untuk mempelajari selengkapnya tentang kerentanan ini, lihat CVE-2020-17049.
Ambil tindakan Untuk melindungi lingkungan Anda dan mencegah padam, Anda harus mengikuti semua langkah berikut:
|
Pengaturan waktu pembaruan Windows ini
Pembaruan Windows ini akan dirilis dalam tiga fase:
-
Fase penyebaran awal untuk pembaruan Windows dirilis pada atau setelah 8 Desember 2020.
-
Fase penyebaran kedua yang menghapus pengaturan Performticketsignature0 dan memerlukan pengaturan 1 atau 2, pada atau setelah 13 April 2021.
-
Fase penegakan pembaruan untuk Windows dirilis pada atau setelah 13 Juli 2021.
8 Desember 2020: fase penyebaran awal
Fase penyebaran awal dimulai dengan pembaruan Windows yang dirilis pada 8 Desember 2020 dan dilanjutkan dengan pembaruan Windows yang lebih baru untuk fase penegakan. Pembaruan Windows dan yang lebih baru ini membuat perubahan ke Kerberos. Pembaruan 8 Desember 2020 ini menyertakan perbaikan untuk semua masalah yang diketahui yang awalnya diperkenalkan oleh rilis 10 November 2020 CVE-2020-17049. Pembaruan ini juga menambahkan dukungan untuk Windows Server 2008 SP2 dan Windows Server 2008 R2.
Rilis ini:
-
Alamat CVE-2020-17049 (dalam mode Deployment secara default).
-
Menambahkan dukungan untuk nilai registri Performticketsignature untuk mengaktifkan proteksi pada server pengontrol domain direktori aktif. Secara default, nilai ini tidak ada.
Mitigasi terdiri dari instalasi pembaruan Windows pada semua perangkat yang menghosting peran kontroler domain direktori aktif dan pengontrol domain baca-saja (RODCs), lalu memungkinkan mode penegakan.
13 April 2021: fase penyebaran kedua
Fase penyebaran kedua dimulai dengan pembaruan Windows yang dirilis pada 13 April 2021. Fase ini menghapus pengaturan Performticketsignature0. Pengaturan performticketsignature ke 0 setelah pembaruan ini diinstal akan memiliki efek yang sama seperti pengaturan performticketsignature ke 1. DC akan berada dalam mode penyebaran.
Catatan
-
Fase ini tidak diperlukan jika Performticketsignature tidak pernah diatur ke 0 di lingkungan Anda. Fase ini membantu memastikan bahwa pelanggan yang menetapkan Performticketsignature ke 0 dipindahkan ke pengaturan 1 sebelum fase penegakan .
-
Dengan penerapan pembaruan 13 April 2021, pengaturan Performticketsignature ke 1 akan memungkinkan tiket layanan diperbarui. Ini adalah perubahan perilaku dari pembaruan Windows pra-April 2021 saat menyetel Performticketsignature ke 1 yang menyebabkan tiket Layanan tidak terbarukan.
-
Pembaruan ini mengasumsikan bahwa semua pengontrol domain diperbarui dengan pembaruan 8 Desember 2020 atau yang lebih baru.
-
Setelah menginstal pembaruan ini, dan secara manual atau terprogram pengaturan Performticketsignature ke 1 atau yang lebih tinggi, tidak didukung pengontrol domain Windows Server tidak akan lagi berfungsi dengan pengontrol domain yang didukung. Ini termasuk Windows Server 2008 dan Windows Server 2008 R2 tanpa pembaruan keamanan yang diperluas (ESU), dan Windows Server 2003.
13 Juli 2021: fase penegakan
Rilis 2021 13 Juli transisi ke fase penegakan. Fase penegakan memberlakukan perubahan pada alamat CVE-2020-17049. Pengontrol domain direktori aktif kini dapat dilakukan. Masuk ke mode penegakan mengharuskan semua pengontrol domain direktori aktif memiliki pembaruan 2020 8 Desember atau pembaruan Windows yang lebih baru yang diinstal. Saat ini, pengaturan kunci registri Performticketsignature akan diabaikan dan mode penegakan tidak bisa ditimpa.
Panduan Instalasi
Sebelum menginstal pembaruan ini
Anda harus memiliki pembaruan diperlukan berikut yang diinstal sebelum Anda menerapkan pembaruan ini. Jika Anda menggunakan Windows Update, pembaruan yang diperlukan ini akan ditawarkan secara otomatis bila diperlukan.
-
Anda harus memiliki pembaruan SHA-2 (KB4474419) tertanggal 23 September 2019 atau pembaruan Sha-2 yang lebih baru terinstal lalu mulai ulang perangkat Anda sebelum Anda menerapkan pembaruan ini. Untuk informasi selengkapnya tentang pembaruan SHA-2, lihat persyaratan dukungan penandatanganan kode Sha-2 2019 untuk Windows dan WSUS.
-
Untuk Windows Server 2008 R2 SP1, Anda harus telah menginstal pembaruan tumpukan Layanan (SSU) (KB4490628) tertanggal 12 Maret 2019. Setelah pembaruan KB4490628 diinstal, kami menyarankan agar Anda menginstal pembaruan Ssu terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan tumpukan layanan terbaru.
-
Untuk Windows Server 2008 SP2, Anda harus telah menginstal Layanan tumpukan pembaruan (SSU) (KB4493730) tertanggal 9 April 2019. Setelah pembaruan KB4493730 diinstal, kami menyarankan agar Anda menginstal pembaruan Ssu terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan tumpukan layanan terbaru.
-
Pelanggan diwajibkan untuk membeli pembaruan keamanan yang diperluas (ESU) untuk versi lokal windows Server 2008 SP2 atau windows Server 2008 R2 SP1 setelah dukungan yang diperpanjang berakhir pada 14 Januari 2020. Pelanggan yang telah membeli ESU harus mengikuti prosedur di KB4522133 untuk terus menerima pembaruan keamanan. Untuk informasi selengkapnya tentang ESU dan edisi mana yang didukung, lihat KB4497181.
Penting Anda harus memulai ulang perangkat setelah menginstal pembaruan yang diperlukan.
Menginstal semua pembaruan
Untuk mengatasi kerentanan keamanan, Instal semua pembaruan Windows dan Aktifkan Mode penegakan dengan mengikuti langkah-langkah berikut:
-
Menyebarkan setidaknya salah satu pembaruan dari antara 8 Desember 2020 dan 9 Maret 2021 ke semua pengontrol domain direktori aktif dalam Forest.
-
Menyebarkan pembaruan tanggal 12 April 2021 setidaknya satu atau beberapa minggu setelah langkah 1.
-
Setelah semua pengontrol domain direktori aktif telah diperbarui, tunggu setidaknya seminggu penuh untuk memperbolehkan semua layanan yang luar biasa untuk tiket Layanan Kerberos pengguna (S4U2self) untuk kedaluwarsa dan kemudian perlindungan penuh dapat diaktifkan dengan menggunakan mode penerapan pengontrol domain direktori aktif.
Catatan-
Jika Anda telah mengubah waktu kedaluwarsa tiket Layanan Kerberos dari pengaturan default (default adalah 7 hari), maka Anda harus menunggu setidaknya jumlah hari yang dikonfigurasi di lingkungan Anda.
-
Langkah-langkah ini berasumsi bahwa Performticketsignature tidak pernah diatur ke 0 di lingkungan Anda. Jika Performticketsignature diatur ke 0, Anda harus berpindah ke pengaturan 1 sebelum berpindah ke pengaturan 2 (mode penegakan) dan tunggu setidaknya seminggu untuk memperbolehkan semua layanan yang luar biasa untuk tiket Layanan Kerberos pengguna (S4U2self) mandiri untuk kedaluwarsa. Anda tidak boleh memindahkan langsung dari pengaturan 0 ke pengaturan 2 (mode penegakan).
-
Langkah 1: instal pembaruan Windows
Instal pembaruan Windows 8 Desember 2020 yang sesuai atau pembaruan Windows yang lebih baru untuk semua perangkat yang menghosting peran pengontrol domain direktori aktif dalam Forest, termasuk pengontrol domain baca-saja.
Produk Windows Server |
KB # |
Tipe pembaruan |
Windows Server, versi 20H2 (instalasi server Core) |
Pembaruan keamanan |
|
Windows Server, versi 2004 (instalasi server Core) |
Pembaruan keamanan |
|
Windows Server, versi 1909 (instalasi server Core) |
Pembaruan keamanan |
|
Windows Server, versi 1903 (instalasi server Core) |
Pembaruan keamanan |
|
Windows Server 2019 (instalasi Core server) |
Pembaruan keamanan |
|
Windows Server 2019 |
Pembaruan keamanan |
|
Windows Server 2016 (instalasi Core server) |
Pembaruan keamanan |
|
Windows Server 2016 |
Pembaruan keamanan |
|
Windows Server 2012 R2 (instalasi server Core) |
Rollup bulanan |
|
Keamanan saja |
||
Windows Server 2012 R2 |
Rollup bulanan |
|
Keamanan saja |
||
Windows Server 2012 (instalasi Core server) |
Rollup bulanan |
|
Keamanan saja |
||
Windows Server 2012 |
Rollup bulanan |
|
Keamanan saja |
||
Paket Layanan Windows Server 2008 R2 1 |
Rollup bulanan |
|
Keamanan saja |
||
Windows Server 2008 Paket Layanan 2 |
Rollup bulanan |
|
Keamanan saja |
Langkah 2: Aktifkan Mode penegakan
Setelah semua perangkat yang menjadi host peran pengontrol domain direktori aktif telah diperbarui, tunggu setidaknya seminggu penuh untuk memperbolehkan semua tiket Layanan Kerberos S4U2self yang beredar kedaluwarsa. Lalu, Aktifkan proteksi penuh dengan menggunakan mode penegakan. Untuk melakukan hal ini, Aktifkan kunci registri mode penegakan.
Peringatan Masalah serius mungkin terjadi jika Anda salah memodifikasi registri dengan menggunakan editor registri atau dengan menggunakan metode lain. Masalah ini mungkin mengharuskan Anda menginstal ulang sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diatasi. Mengubah registri dengan risiko Anda sendiri.
Catatan Pembaruan ini memperkenalkan dukungan untuk nilai registri berikut ini untuk mengaktifkan mode penegakan. Nilai registri ini tidak dibuat dengan menginstal pembaruan ini. Anda harus menambahkan nilai registri ini secara manual.
Subkunci registri |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Nilainya |
PerformTicketSignature |
Tipe data |
REG_DWORD |
Data |
1: memungkinkan mode penyebaran. Perbaikan diaktifkan pada kontroler domain, tapi kontroler domain direktori aktif tidak mengharuskan tiket Layanan Kerberos sesuai dengan perbaikan. Mode ini menambahkan dukungan untuk tanda tangan tiket pada pengontrol domain CVE-2020-17049 yang diperbarui tetapi pengontrol domain tidak memerlukan tiket untuk ditandatangani. Ini memungkinkan gabungan fase penyebaran awal (DCs diperbarui ke pembaruan penyebaran awal bulan Desember) dan pengontrol domain yang diperbarui untuk berdampingan. Dengan semua pengontrol domain yang diperbarui dan di pengaturan 1, semua tiket baru akan ditandatangani. Dalam mode ini, tiket baru akan ditandai sebagai terbarukan. 2: mengaktifkan mode penegakan hal ini memungkinkan perbaikan dalam mode diperlukan di mana semua domain harus diperbarui dan semua pengontrol domain direktori aktif memerlukan tiket Layanan Kerberos dengan tanda tangan. Dengan pengaturan ini, Semua Tiket harus ditandatangani agar dianggap sah. Dalam mode ini, tiket akan lagi ditandai sebagai terbarukan. 0: tidak direkomendasikan. Menonaktifkan tanda tangan tiket Layanan Kerberos, dan domain Anda tidak diproteksi. Important Pengaturan 0 tidak kompatibel dengan pengaturan penerapan 2. Kegagalan autentikasi terputus-putus mungkin terjadi jika mode penerapan diterapkan pada tahap berikutnya saat domain diatur ke 0. Kami menyarankan pelanggan untuk berpindah ke pengaturan 1 sebelum tahapan penerapan (setidaknya satu minggu sebelum menerapkan penerapan). |
Awalan |
1 (jika kunci registri tidak diatur) |
Apakah mulai ulang diperlukan? |
Tidak |