OPDATERET 20. marts 2023 – sektionen Tilgængelighed
Sammendrag
DCOM Remote Protocol (Distributed Component Object Model) er en protokol til eksponering af programobjekter ved hjælp af RPC'er (Remote Procedure Calls). DCOM bruges til kommunikation mellem softwarekomponenter på netværksenheder. Hærdningsændringer i DCOM var nødvendige for CVE-2021-26414. Derfor anbefaler vi, at du kontrollerer, om klient- eller serverprogrammer i dit miljø, der bruger DCOM eller RPC, fungerer som forventet med hærdningsændringer aktiveret.
Bemærk! Vi anbefaler, at du installerer den nyeste tilgængelige sikkerhedsopdatering. De giver avanceret beskyttelse mod de nyeste sikkerhedstrusler. De indeholder også funktioner, som vi har tilføjet for at understøtte overførsel. Du kan få mere at vide og kontekst om, hvordan vi hærder DCOM, under Hærdning af DCOM-godkendelse: hvad du bør vide.
Den første fase af DCOM-opdateringer blev udgivet d. 8. juni 2021. I denne opdatering blev DCOM-hærdning deaktiveret som standard. Du kan aktivere dem ved at ændre registreringsdatabasen som beskrevet i afsnittet "Registreringsdatabase for at aktivere eller deaktivere hærdningsændringer" nedenfor. Anden fase af DCOM-opdateringer blev udgivet d. 14. juni 2022. Dette ændrede hærdningen til aktiveret som standard, men bevarede muligheden for at deaktivere ændringerne ved hjælp af indstillingerne for registreringsdatabasenøglen. Den sidste fase af DCOM-opdateringerne frigives i marts 2023. Det vil holde DCOM-hærdning aktiveret og fjerne muligheden for at deaktivere den.
Tidslinje
|
Opdateringsversion |
Ændring af funktionsmåde |
|
8. juni 2021 |
Version 1. fase – Hardening ændres som standard, men med muligheden for at aktivere dem ved hjælp af en registreringsdatabasenøgle. |
|
14. juni 2022 |
Fase 2 Release – Hardening-ændringer er aktiveret som standard, men med mulighed for at deaktivere dem ved hjælp af en registreringsdatabasenøgle. |
|
14. marts 2023 |
Version 3 af fase 3 – Hardening-ændringer er aktiveret som standard uden mulighed for at deaktivere dem. På dette tidspunkt skal du løse eventuelle kompatibilitetsproblemer med hærdningsændringer og -programmer i dit miljø. |
Test for DCOM-hærdningskompatibilitet
Nye DCOM-fejlhændelser
Som en hjælp til at identificere de programmer, der kan have kompatibilitetsproblemer, efter at vi har aktiveret ændringer af DCOM-sikkerhedshærdning, har vi tilføjet nye DCOM-fejlhændelser i systemloggen. Se tabellerne nedenfor. Systemet registrerer disse hændelser, hvis det registrerer, at et DCOM-klientprogram forsøger at aktivere en DCOM-server ved hjælp af et godkendelsesniveau, der er mindre end RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Du kan spore til klientenheden fra hændelsesloggen på serversiden og bruge hændelseslogge på klientsiden til at finde programmet.
Serverhændelser - Angiv, at serveren modtager anmodninger på lavere niveau
|
Hændelses-id |
Meddelelse |
|---|---|
|
10036 |
"Politikken på serversiden for godkendelsesniveau tillader ikke, at brugeren %1\%2 SID (%3) fra adressen %4 aktiverer DCOM-serveren. Hæv aktiveringsgodkendelsesniveauet mindst for at RPC_C_AUTHN_LEVEL_PKT_INTEGRITY i klientprogrammet." (%1 – domæne, %2 – brugernavn, %3 – bruger-SID, %4 – klient-IP-adresse) |
Klienthændelser – Angiv, hvilket program der sender anmodninger på lavere niveau
|
Hændelses-id |
Meddelelse |
|---|---|
|
10037 |
"Programmet %1 med PID %2 anmoder om at aktivere CLSID %3 på computeren %4 med eksplicit angivet godkendelsesniveau på %5. Det laveste aktiveringsgodkendelsesniveau, der kræves af DCOM, er 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Hvis du vil hæve godkendelsesniveauet for aktivering, skal du kontakte programleverandøren." |
|
10038 |
"Programmet %1 med PID %2 anmoder om at aktivere CLSID %3 på computeren %4 med standardaktiveringsgodkendelsesniveauet på %5. Det laveste aktiveringsgodkendelsesniveau, der kræves af DCOM, er 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Hvis du vil hæve godkendelsesniveauet for aktivering, skal du kontakte programleverandøren." (%1 – Programsti, %2 – Program-PID, %3 – CLSID for den COM-klasse, som programmet anmoder om at aktivere, %4 – Computernavn, %5 – Værdien af godkendelsesniveau) |
Tilgængelighed
Disse fejlhændelser er kun tilgængelige for et undersæt af Windows-versioner. se tabellen nedenfor.
|
Windows-version |
Tilgængelig på eller efter disse datoer |
|---|---|
|
Windows Server 2022 |
27. september 2021 |
|
Windows 10, version 2004, Windows 10, version 20H2, Windows 10, version 21H1 |
1. september 2021 |
|
Windows 10, version 1909 |
26. august 2021 |
|
Windows Server 2019, Windows 10, version 1809 |
26. august 2021 |
|
Windows Server 2016, Windows 10, version 1607 |
14. september 2021 |
|
Windows Server 2012 R2 og Windows 8.1 |
12. oktober 2021 |
|
Windows 11, version 22H2 |
30. september 2022 |
Anmodning om automatisk elevationsrettelse på klientsiden
Godkendelsesniveau for alle ikke-anonyme aktiveringsanmodninger
For at reducere problemer med appkompatibilitet har vi automatisk hævet godkendelsesniveauet for alle ikke-anonyme aktiveringsanmodninger fra Windows-baserede DCOM-klienter for at RPC_C_AUTHN_LEVEL_PKT_INTEGRITY som minimum. Med denne ændring accepteres de fleste Windows-baserede DCOM-klientanmodninger automatisk med DCOM-hærdningsændringer aktiveret på serversiden uden yderligere ændringer af DCOM-klienten. Desuden vil de fleste Windows DCOM-klienter automatisk arbejde med DCOM-hærdningsændringer på serversiden uden yderligere ændringer af DCOM-klienten.
Bemærk! Denne programrettelse vil fortsat være inkluderet i de kumulative opdateringer.
Tidslinje for opdatering af programrettelse
Siden den første udgivelse i november 2022 har den automatiske opdatering haft et par opdateringer.
-
Opdatering for november 2022
-
Denne opdatering hævede automatisk aktiveringsgodkendelsesniveauet til pakkeintegritet. Denne ændring er som standard deaktiveret på Windows Server 2016 og Windows Server 2019.
-
-
Opdatering for december 2022
-
Novemberændringen blev aktiveret som standard for Windows Server 2016 og Windows Server 2019.
-
Denne opdatering løste også et problem, der påvirkede anonym aktivering på Windows Server 2016 og Windows Server 2019.
-
-
Opdatering for januar 2023
-
Denne opdatering løste et problem, der påvirkede anonym aktivering på platforme fra Windows Server 2008 til Windows 10 (første version udgivet juli 2015).
-
Hvis du har installeret de kumulative sikkerhedsopdateringer pr. januar 2023 på dine klienter og servere, har de den nyeste automatiske opgraderingsrettelse fuldt aktiveret.
Indstilling i registreringsdatabasen til aktivering eller deaktivering af hærdningsændringer
I de tidslinjefaser, hvor du kan aktivere eller deaktivere hærdningsændringerne for CVE-2021-26414, kan du bruge følgende registreringsdatabasenøgle:
-
Sti: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Værdinavn: "RequireIntegrityActivationAuthenticationLevel"
-
Type: dword
-
Værdidata: default= 0x00000000 betyder deaktiveret. 0x00000001 betyder aktiveret. Hvis denne værdi ikke er defineret, aktiveres den som standard.
Bemærk Du skal angive Værdidata i hexadecimalformat.
Vigtigt! Du skal genstarte enheden, når du har angivet denne registreringsdatabasenøgle, for at den kan træde i kraft.
Bemærk! Aktivering af registreringsdatabasenøglen ovenfor får DCOM-servere til at gennemtvinge en Authentication-Level af RPC_C_AUTHN_LEVEL_PKT_INTEGRITY eller nyere for aktivering. Dette påvirker ikke anonym aktivering (aktivering ved hjælp af godkendelsesniveau RPC_C_AUTHN_LEVEL_NONE). Hvis DCOM-serveren tillader anonym aktivering, vil den stadig være tilladt, selv med DCOM-hærdningsændringer er aktiveret.
Bemærk! Denne registreringsdatabaseværdi findes ikke som standard. skal du oprette den. Windows læser den, hvis den findes, og overskriver den ikke.
Bemærk! Installation af senere opdateringer vil hverken ændre eller fjerne eksisterende poster og indstillinger i registreringsdatabasen.
