重要: 先前在本文所指出的版本發行日期已變更。 請注意,[採取行動] 和 [更新這些 Windows 更新的時間] 小節中的新版本發行日期。
摘要
金鑰發佈中心 (KDC) 在確定是否可以 Kerberos 限制委派 (KCD) 使用 Kerberos 服務票證的方法中存在安全性功能略過弱點。 為了利用弱點,設定為使用 KCD 的遭入侵服務可能會竄改無法用於委派的 Kerberos 服務票證,以強迫 KDC 接受。 這些 Windows 更新會透過變更 KDC 驗證 KCD 所使用 Kerberos 服務票證的方式解決此弱點。
要深入了解此弱點,請參閱 CVE-2020-17049。
採取行動 為保護您的環境並避免運作中斷,必須依照下列所有步驟執行: |
這些 Windows 更新的預存時間
這些 Windows 更新將分成三個階段發行:
-
於 2020 年 12 月 8 日或之後發行的 Windows 更新,均屬於初始部署階段。
-
移除 PerformTicketSignature 設定 0 和需要 1 或 2 任一設定的第二部署階段,始於 2021 年 4 月 13 日或在這以後。
-
於 2021 年 7 月 13 日或之後發行的 Windows 更新,則屬於強制階段。
2020 年 12 月 8 日:初始部署階段
初始部署階段從 2020 年 12 月 8 日發行的 Windows 更新開始,一直延續到強制階段的較新 Windows 更新。 這些和較新的 Windows 更新都會對 Kerberos 進行變更。 此 2020 年 12 月 8 日更新包括原本由 CVE-2020-17049 的 2020 年 11 月 10 日版本引進之所有已知問題的修正程式。 此更新也新增適用於 Windows Server 2008 SP2 和 Windows Server 2008 R2 的支援。
此版本:
-
解決 CVE-2020-17049 (預設為部署模式)。
-
新增 PerformTicketSignature 登錄機碼的支援,以在 Active Directory 網域控制站伺服器上啟用保護。 預設情況為此值不存在。
風險降低措施包含在所有主控 Active Directory 網域控制站角色和唯讀網域控制站 (RODC) 的裝置上安裝 Windows 更新,然後啟用強制模式。
2021 年 4 月 13 日:第二部署階段
第二部署階段從 2021 年 4 月 13 日發行的 Windows 更新開始。 此階段會移除 PerformTicketSignature 設定 0。 安裝此更新後,將 PerformTicketSignature 設定為 0,其和將 PerformTicketSignature 設定為 1 的效果相同。 DC 將處於部署模式。
注意事項
-
如果您的環境中從未將 PerformTicketSignature 設定為 0,則不需要此階段。 此階段可幫助將 PerformTicketSignature 設定為 0 的客戶,在 Enforcement 階段之前改用設定 1。
-
部署 2021 年 4 月 13 日更新後,將 PerformTicketSignature 設定為 1 可讓服務票證設為可更新。 這是行為上的變更,2021 年 4 月以前的 Windows 更新將 PerformTicketSignature 設定為 1 時會導致服務票證不可更新。
-
此更新假設所有網域控制站都更新為 2020 年 12 月 8 日更新或更新版本。
-
安裝此更新,並手動或以程式設計方式將 PerformTicketSignature 設定為 1 或更高後,不支援的 Windows Server 網域控制站將無法再與支援的網域控制站一起使用。 這包括 Windows Server 2008 和 Windows Server 2008 R2,不含延伸安全性更新 (ESU) 和 Windows Server 2003。
2021 年 7 月 13 日:強制執行階段
2021 年 7 月 13 日版本可轉換為強制階段。 強制階段會強制執行可解決 CVE-2020-17049 的變更。 Active Directory 網域控制站現在能夠使用強制模式。 進入強制模式後,需要所有 Active Directory 網域控制站都安裝 2020 年 12 月 8 日的更新或以後的 Windows 更新。 目前會略過 PerformTicketSignature 登錄機碼設定,而且無法覆寫強制模式。
安裝指引
安裝此更新之前
您必須先安裝下列必要更新,才能套用此更新。 如果使用 Windows Update,將會視需要自動提供這些必要更新。
-
必須安裝 2019 年 9 月 23 日發行的 SHA-2 更新 (KB4474419) 或更新版本的 SHA-2 更新,然後重新啟動您的裝置,然後再套用此更新。 如需有關 SHA-2 更新的詳細資訊,請參閱 2019 年 Windows 和 WSUS 的 SHA-2 程式碼簽署支援需求。
-
對於 Windows Server 2008 R2 SP1,必須安裝 2019 年 3 月 12 日發行的服務堆疊更新 (SSU) (KB4490628)。 安裝更新 KB4490628 後,建議您安裝最新的SSU 更新。 如需有關最新 SSU 更新的詳細資訊,請參閱 ADV990001 | 最新服務堆疊更新。
-
對於 Windows Server 2008 SP2,必須安裝 2019 年 4 月 9 日發行的服務堆疊更新 (SSU) (KB4493730)。 安裝更新 KB4493730 後,建議您安裝最新的 SSU 更新。 如需有關最新 SSU 更新的詳細資訊,請參閱 ADV990001 | 最新的服務堆疊更新。
-
在延伸支援於 2020 年 1 月 14 日終止後,客戶必須購買適用於 Windows Server 2008 SP2 或 Windows Server 2008 R2 SP1 內部部署版本的延伸安全性更新 (ESU)。 已購買 ESU 的客戶必須遵循 KB4522133 中的程序,才能繼續收到安全性更新。 如需 ESU 與支援哪些版本的詳細資訊,請參閱 KB4497181。
重要:安裝這些必要更新後,必須重新啟動您的裝置。
安裝所有更新
要解決安全性弱點,請按照下列步驟安裝 Windows 更新,並啟用強制模式:
-
至少將 2020 年 12 月 8 日到 2021 年 3 月 9 日之間的其中一個更新部署到樹系中的所有 Active Directory 網域控制站。
-
在步驟 1 完成後至少一週或數週後再部署 2021 年 4 月 12 日更新。
-
完成更新所有 Active Directory 網域控制站後,至少靜候一整週,讓所有流通在外的 User to Self (S4U2self) Kerberos 服務票證到期,然後部署 Active Directory 網域控制站強制模式,即可啟用全面保護。
附註-
如果已修改預設設定中的 Kerberos 服務票證到期時間 (預設為 7 天),則必須依據環境中的設定,至少等待同樣的天數。
-
這些步驟假設您的環境中從未將 PerformTicketSignature 設定為 0。 如果曾將 PerformTicketSignature 設定為 0,必須先改為使用設定 1 後,才能改用設定 2 (強制模式),之後至少等待一週,讓所有流通在外的 Service for User to Self (S4U2self) Kerberos 服務票證到期。 不應直接從設定 0 改為使用設定 2 (強制模式)。
-
步驟 1:安裝 Windows 更新
針對主控樹系中 Active Directory 網域控制站角色 (包括唯讀網域控制站) 的所有裝置,安裝適當的 2020 年 12 月 8 日 Windows 更新或以後的 Windows 更新。
Windows Server 產品 |
KB # |
更新類型 |
Windows Server 20H2 版 (Server Core 安裝) |
安全性更新 |
|
Windows Server 2004 版 (Server Core 安裝) |
安全性更新 |
|
Windows Server 1909 版 (Server Core 安裝) |
安全性更新 |
|
Windows Server 1903 版 (Server Core 安裝) |
安全性更新 |
|
Windows Server 2019 (Server Core 安裝) |
安全性更新 |
|
Windows Server 2019 |
安全性更新 |
|
Windows Server 2016 (Server Core 安裝) |
安全性更新 |
|
Windows Server 2016 |
安全性更新 |
|
Windows Server 2012 R2 (Server Core 安裝) |
每月彙總套件 |
|
僅限安全性 |
||
Windows Server 2012 R2 |
每月彙總套件 |
|
僅限安全性 |
||
Windows Server 2012 (Server Core 安裝) |
每月彙總套件 |
|
僅限安全性 |
||
Windows Server 2012 |
每月彙總套件 |
|
僅限安全性 |
||
Windows Server 2008 R2 Service Pack 1 |
每月彙總套件 |
|
僅限安全性 |
||
Windows Server 2008 Service Pack 2 |
每月彙總套件 |
|
僅限安全性 |
步驟 2:啟用 Enforcement 模式
完成更新所有主控 Active Directory 網域控制站角色的裝置後,至少靜候一整週,讓所有流通在外的 S4U2self Kerberos 服務票證到期。 然後,透過部署強制模式啟用全面保護。 要執行此動作,請啟用強制模式登錄機碼。
警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。 您可能需要重新安裝作業系統才能解決這些問題。 Microsoft 不保證可以解決這些問題。 請自行承擔修改登錄的一切風險。
附註: 此更新引進支援下列登錄值,以啟用強制模式。 安裝此更新並不會建立此登錄值。 必須手動新增此登錄值。
登錄子機碼 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
值 |
PerformTicketSignature |
資料類型 |
REG_DWORD |
資料 |
1:啟用部署模式。 網域控制站上已啟用修正程式,但 Active Directory 網域控制站不會要求 Kerberos 服務票證符合該修正程式。 此模式在 CVE-2020-17049 更新的網域控制器上增加對票證簽章的支援,但網域控制器不會要求票證經過簽署。 這可讓初始部署更新 (DC 已更新至 12 月初始部署更新) 與更新的網域控制站混合共存。 所有網域控制站都經過更新並設定為 1 時,所有的新票證也都要經過簽署。 在此模式中,新票證都會標示為可更新。 2:啟用強制模式 這會要求所有網域都必須經過更新,而所有 Active Directory 網域控制站也都要求 Kerberos 服務票證須含有簽章,以這樣的必要模式啟用修正程式。 使用此設定時,所有票證都必須經過簽署,才會視為有效。 在此模式中,票證會再次標示為可更新。 0:不建議使用。 停用 Kerberos 服務票證簽章,您的網域也未受到保護。 重要:設定 0 與強制設定 2 不相容。 將網域設定為 0 後,如果在稍後的階段套用 Enforcement 模式,可能會間歇發生驗證失敗。 建議客戶在強制階段到來之前 (至少在套用強制設定前一週),改用設定 1。 |
預設值 |
1 (未設定登錄機碼時) |
是否需要重新開機? |
否 |