Shrnutí
Aktualizace z 13. července 2021 Windows novější aktualizace Windows ochranu pro CVE-2021-33757.
Po instalaci aktualizací z 13. července 2021 Windows nebo novějších aktualizací Windows bude pro klienty Windows upřednostňovaným způsobem šifrování standard AES (Advanced Encryption Standard) (AES) při použití staršího protokolu MS-SAMR pro operace hesel, pokud je šifrování AES podporované serverem SAM. Pokud server SAM nepodporuje šifrování AES, budou povoleny záložní verze staršího šifrování RC4.
Změny v protokolu CVE-20201-33757 jsou specifické pro protokol MS-SAMR a jsou nezávislé na jiných ověřovacích protokolech. Ms-SAMR používá smb přes RPC a pojmenované kanály. I když protokol SMB podporuje šifrování, ve výchozím nastavení není povolený. Ve výchozím nastavení jsou změny v protokolu CVE-20201-33757 povolené a poskytují další zabezpečení ve vrstvě SAM. Kromě instalace ochrany pro aktualizaci CVE-20201-33757 zahrnuté v aktualizacích z 13. července 2021 Windows nebo novějších verzích Windows ve všech podporovaných verzích Windows nejsou potřeba žádné další změny konfigurace. Nepodporované verze Windows by měly být ukončeny nebo upgradovány na podporovanou verzi.
Poznámka: Chyba CVE-2021-33757 upravuje způsob šifrování hesel při přenosu jenom při použití určitých rozhraní API protokolu MS-SAMR a konkrétně neměňte způsob uložení hesel v klidu. Další informace o tom, jak se hesla šifrují v klidu ve službě Active Directory a místně v databázi SAM (registru), najdete v tématu Přehled hesel.
Více informací
-
Vzor pro změnu hesla
Aktualizace mění způsob změny hesla protokolu přidáním nové metody změny hesla, která bude používat AES.
Stará metoda s RC4
Nová metoda s AES
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Úplný seznam operací MS-SAMR najdete v tématu Události zpracování zpráv a Pravidla řazení.
-
Password set pattern
Aktualizace upraví vzor sady hesel protokolu přidáním dvou nových tříd informací o uživateli do metody SamrSetInformationUser2 (Opnum 58). Informace o hesle můžete nastavit následujícím způsobem.
Stará metoda s RC4
Nová metoda s AES
SamrSetInformationUser2 (Opnum 58) spolu s UserInternal4InformationNew, který obsahuje šifrované uživatelské heslo s RC4.
SamrSetInformationUser2 (Opnum 58) spolu s userinternal8information, který obsahuje šifrované uživatelské heslo s AES.
SamrSetInformationUser2 (Opnum 58) spolu s UserInternal5InformationNew, který obsahuje šifrované uživatelské heslo s RC4 a všemi ostatními atributy uživatelů.
SamrSetInformationUser2 (Opnum 58) společně s userinternal7information, který obsahuje šifrované heslo s AES a všemi ostatními atributy uživatelů.
Stávající metoda SamrConnect5 se obvykle používá k navázání spojení mezi klientem a serverem SAM.
Aktualizovaný server teď vrátí nový bit v odpovědi SamrConnect5(), jak je definována v SAMPR_REVISION_INFO_V1.
|
Hodnota |
Význam: |
|
0x00000010 |
Při potvrzení klientem tato hodnota, pokud je nastavená, označuje, že klient by měl při posílání přes drát používat šifrování AES se strukturou SAMPR_ENCRYPTED_PASSWORD_AES šifrování vyrovnávacích pamětí hesel. Viz Použití šifry AES (oddíl 3.2.2.4)a SAMPR_ENCRYPTED_PASSWORD_AES (oddíl 2.2.6.32). |
Pokud aktualizovaný server podporuje AES, použije klient nové metody a nové třídy informací pro operace s heslem. Pokud server nevrátí tento příznak nebo klient není aktualizován, vrátí se klient k předchozím metodám šifrování RC4.
Operace sady hesel vyžadují zapisovatelný řadič domény (RWDC). Změny hesla přeposílá řadič domény jen pro čtení (RODC) do rwdc. Aby bylo možné používat AES, je nutné aktualizovat všechna zařízení. Příklad:
-
Pokud klient, řadič domény jen pro čtení nebo RWDC není aktualizován, použije se šifrování RC4.
-
Pokud se klient, řadič domény jen pro čtení a RWDC aktualizují, použije se šifrování AES.
Aktualizace z 13. července 2021 přidávají do systémového protokolu čtyři nové události, které pomáhají identifikovat zařízení, která nejsou aktualizována, a pomáhá zlepšit zabezpečení.
-
Stav konfigurace : Id události 16982 nebo 16983 je přihlášeno při spuštění nebo při změně konfigurace registru.
ID události 16982Protokol událostí
Systém
Zdroj události
Directory-Services-SAM
ID události
16982
Úroveň
Informace
Text zprávy události
Správce účtů zabezpečení teď zaznamenává podrobné události pro vzdálené klienty, kteří volají ke změně staršího hesla nebo k nastavení metod RPC. Toto nastavení může způsobit velký počet zpráv a mělo by být používáno jen krátkou dobu k diagnostice problémů.
ID události 16983Protokol událostí
Systém
Zdroj události
Directory-Services-SAM
ID události
16983
Úroveň
Informace
Text zprávy události
Správce účtů zabezpečení teď zaznamenává pravidelné souhrnné události pro vzdálené klienty, kteří volají ke změně staršího hesla nebo k nastavení metod RPC.
-
Po použití aktualizace z 13. července 2021 se do protokolu systémových událostí každých 60 minut zaprotokoluje souhrnná událost 16984.
ID události 16984Protokol událostí
Systém
Zdroj události
Directory-Services-SAM
ID události
16984
Úroveň
Informace
Text zprávy události
Správce účtu zabezpečení zjistil v posledních 60 minutách změnu staršího hesla %x nebo nastavil volání metody RPC.
-
Po konfiguraci podrobného protokolování událostí se ID události 16985 zaprotokoluje do protokolu systémových událostí při každém použití starší metody RPC ke změně nebo nastavení hesla účtu.
ID události 16985Protokol událostí
Systém
Zdroj události
Directory-Services-SAM
ID události
16985
Úroveň
Informace
Text zprávy události
Správce účtů zabezpečení zjistil použití starší změny nebo nastavil metodu RPC od síťového klienta. Zvažte upgrade klientského operačního systému nebo aplikace na nejnovější a bezpečnější verzi této metody.
Podrobnosti:
Metoda RPC: %1
Síťová adresa klienta: %2
Číslo SID klienta: %3
Uživatelské jméno: %4
Pokud chcete protokolovat podrobné ID události 16985, přepněte následující hodnotu registru na serveru nebo řadiči domény.
Cesta
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Typ
REG_DWORD
Název hodnoty
AuditLegacyPasswordRpcMethods
Údaj hodnoty
1 = je povolené podrobné protokolování
0 nebo není k dispozici = podrobné protokolování je zakázané. Jenom souhrnné události. (Výchozí)
Jak je popsáno v článku SamrUnicodeChangePasswordUser4 (Opnum 73), použijete-li novou metodu SamrUnicodeChangePasswordUser4, klient a server použije algoritmus PBKDF2 k odvození šifrovacího a dešifrovacího klíče ze starého hesla ve formátu prostého textu. Je to proto, že staré heslo je jediným běžným tajným kódem, který je známý pro server i klienta.
Další informace o funkci PBKDF2 najdete v článku Funkce BCryptDeriveKeyPBKDF2 (bcrypt.h).
Pokud je nutné provést změnu z důvodu výkonu a zabezpečení, můžete upravit počet iterací PBKDF2 používaných klientem ke změně hesla nastavením následující hodnoty registru v klientovi.
Poznámka: Snížení počtu iterací PBKDF2 sníží zabezpečení. Nedoporučujeme, aby se číslo snížilo od výchozího nastavení. Doporučujeme ale použít nejvyšší možný počet iterací PBKDF2.
|
Cesta |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
|
Typ |
REG_DWORD |
|
Název hodnoty |
PBKDF2Iterations |
|
Údaj hodnoty |
Minimálně 5 000 až maximálně 1 000 000 |
|
Výchozí hodnota |
10,000 |
Poznámka: Pbkdf2 se pro operace sady hesel nepoužít. U operací sady hesel je klíč relace SMB sdíleným tajemstvím mezi klientem a serverem a slouží jako základ pro odvození šifrovacích klíčů.
Další informace najdete v tématu Získání klíče relace SMB.
Časté otázky
Downgrade se stane, když server nebo klient nepodporuje AES.
Aktualizované servery budou protokolovat události při použití starších metod s RC4.
V současné době není dostupný režim vynucení, ale v budoucnu může být. Datum nemáme.
Pokud zařízení jiného výrobce protokol SAMR nepoužité, není to důležité. Dodavatelé třetích stran, kteří implementují protokol MS-SAMR, se mohou rozhodnout tuto implementaci implementovat. V případě jakýchkoli dotazů se obraťte na dodavatele třetí strany.
Nejsou potřeba žádné další změny.
Tento protokol je starší a očekáváme, že jeho použití je velmi nízké. Starší aplikace používejte tato rozhraní API. Taky některé nástroje služby Active Directory, jako jsou uživatelé služby AD a konzola MMC Počítače, používají funkci SAMR.
Ne. Týká se to jenom změn hesel, které používají tato specifická rozhraní API SAMR.
Ano. PBKDF2 je dražší než RC4. Pokud na řadiči domény, který volá rozhraní API SamrUnicodeChangePasswordUser4, dochází k mnoha změnám hesla, může to mít vliv na zatížení procesoru lsass. Iterace PBKDF2 můžete u klientů optimalizovat, pokud je to potřeba, ale nedoporučujeme snížit výchozí hodnoty, protože by to snížilo zabezpečení.
Odkazy
Ověřené šifrování pomocí AES-CBC a HMAC-SHA
Informace třetích stran – právní omezení
Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto informace se mohou změnit bez předchozího upozornění. Nezaručujeme přesnost těchto kontaktních údajů třetích stran.
