KB5004605: Η ενημέρωση προσθέτει προστασία κρυπτογράφησης AES στο πρωτόκολλο MS-SAMR για CVE-2021-33757

• Μοτίβο αλλαγής κωδικού πρόσβασης

  Οι ενημερώσεις τροποποιούν το μοτίβο αλλαγής κωδικού πρόσβασης του πρωτοκόλλου προσθέτοντας μια νέα μέθοδο αλλαγής κωδικού πρόσβασης που θα χρησιμοποιεί AES.

  Παλιά μέθοδος με RC4	Νέα μέθοδος με AES
  SamrUnicodeChangePasswordUser2 (OpNum 55)	SamrUnicodeChangePasswordUser4 (OpNum 73)

  Για την πλήρη λίστα των OpNums MS-SAMR, ανατρέξτε στο θέμα Συμβάντα επεξεργασίας μηνυμάτων και κανόνες ακολουθίας.

• Μοτίβο συνόλου κωδικών πρόσβασης

  Οι ενημερώσεις τροποποιούν το μοτίβο συνόλου κωδικών πρόσβασης του πρωτοκόλλου προσθέτοντας δύο νέες τάξεις πληροφοριών χρήστη στη μέθοδο SamrSetInformationUser2 (Opnum 58). Μπορείτε να ορίσετε πληροφορίες κωδικού πρόσβασης ως εξής.

  Παλιά μέθοδος με RC4	Νέα μέθοδος με AES
  SamrSetInformationUser2 (Opnum 58) μαζί με το UserInternal4InformationNew που περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης χρήστη με rc4.	SamrSetInformationUser2 (Opnum 58) μαζί με το UserInternal8Information που περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης χρήστη με AES.
  SamrSetInformationUser2 (Opnum 58) μαζί με το UserInternal5InformationNew που περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης χρήστη με RC4 και όλα τα άλλα χαρακτηριστικά χρήστη.	SamrSetInformationUser2 (Opnum 58) μαζί με το UserInternal7Information που περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης με AES και όλα τα άλλα χαρακτηριστικά χρήστη.

Η υπάρχουσα μέθοδος SamrConnect5 χρησιμοποιείται συνήθως για τη δημιουργία σύνδεσης μεταξύ του προγράμματος-πελάτη SAM και του διακομιστή.

Ένας ενημερωμένος διακομιστής θα επιστρέψει τώρα ένα νέο bit στην απόκριση SamrConnect5() όπως ορίζεται στο SAMPR_REVISION_INFO_V1. 

Τιμή	Σημασία
0x00000010	Κατά την παραλαβή από το πρόγραμμα-πελάτη, αυτή η τιμή, όταν οριστεί, υποδεικνύει ότι το πρόγραμμα-πελάτης θα πρέπει να χρησιμοποιεί κρυπτογράφηση AES με τη δομή του SAMPR_ENCRYPTED_PASSWORD_AES για την κρυπτογράφηση των buffer κωδικών πρόσβασης κατά την αποστολή μέσω καλωδίου. Ανατρέξτε στις ενότητες Χρήση κρυπτογράφησης AES (ενότητα 3.2.2.4)και SAMPR_ENCRYPTED_PASSWORD_AES (ενότητα 2.2.6.32).

Εάν ο ενημερωμένος διακομιστής υποστηρίζει AES, το πρόγραμμα-πελάτης θα χρησιμοποιήσει νέες μεθόδους και νέες τάξεις πληροφοριών για λειτουργίες κωδικού πρόσβασης. Εάν ο διακομιστής δεν επιστρέψει αυτήν τη σημαία ή εάν το πρόγραμμα-πελάτης δεν ενημερωθεί, το πρόγραμμα-πελάτης θα επιστρέψει στη χρήση προηγούμενων μεθόδων με κρυπτογράφηση RC4.

Οι λειτουργίες συνόλου κωδικών πρόσβασης απαιτούν έναν ελεγκτή τομέα με δυνατότητα εγγραφής (RWDC). Οι αλλαγές κωδικού πρόσβασης προωθώνται από τον ελεγκτή τομέα μόνο για ανάγνωση (RODC) σε RWDC. Όλες οι συσκευές πρέπει να ενημερωθούν για να χρησιμοποιηθούν οι AES. Για παράδειγμα:

• Εάν το πρόγραμμα-πελάτης, η ΤΕΧΝΟΛΟΓΊΑ ΡΆΒΔΟΥ Ή RWDC δεν ενημερωθεί, θα χρησιμοποιηθεί κρυπτογράφηση RC4.

• Εάν ενημερωθεί το πρόγραμμα-πελάτης, η τεχνολογία ΡΆΒΔΟΥ ΚΑΙ RWDC, θα χρησιμοποιηθεί κρυπτογράφηση AES.

Οι ενημερώσεις της 13ης Ιουλίου 2021 προσθέτουν τέσσερα νέα συμβάντα στο αρχείο καταγραφής συστήματος για να σας βοηθήσουν να προσδιορίσετε συσκευές που δεν έχουν ενημερωθεί και συμβάλλει στη βελτίωση της ασφάλειας.

• Το αναγνωριστικό συμβάντος κατάστασης ρύθμισης παραμέτρων 16982 ή 16983 καταγράφεται κατά την εκκίνηση ή μετά από μια αλλαγή ρύθμισης παραμέτρων μητρώου.
  
  Αναγνωριστικό συμβάντος 16982

  Αρχείο καταγραφής συμβάντων	Σύστημα
  Προέλευση συμβάντος	Directory-Services-SAM
  Αναγνωριστικό συμβάντος	16982
  Επίπεδο	Πληροφορίες
  Κείμενο μηνύματος συμβάντος	Ο διαχειριστής λογαριασμών ασφαλείας τώρα καταγραφή λεπτομερών συμβάντων για απομακρυσμένα προγράμματα-πελάτες που καλούν την αλλαγή κωδικού πρόσβασης παλαιού τύπου ή ορίστε μεθόδους RPC. Αυτή η ρύθμιση μπορεί να προκαλέσει μεγάλο αριθμό μηνυμάτων και θα πρέπει να χρησιμοποιείται μόνο για σύντομο χρονικό διάστημα για τη διάγνωση προβλημάτων.

  
  Αναγνωριστικό συμβάντος 16983

  Αρχείο καταγραφής συμβάντων	Σύστημα
  Προέλευση συμβάντος	Directory-Services-SAM
  Αναγνωριστικό συμβάντος	16983
  Επίπεδο	Πληροφορίες
  Κείμενο μηνύματος συμβάντος	Ο διαχειριστής λογαριασμών ασφαλείας κάνει καταγραφή περιοδικών συμβάντων σύνοψης για απομακρυσμένα προγράμματα-πελάτες που καλούν την αλλαγή κωδικού πρόσβασης παλαιού τύπου ή ορίστε μεθόδους RPC.

• Μετά την εφαρμογή της ενημέρωσης 13 Ιουλίου 2021, καταγράφεται ένα συμβάν σύνοψης 16984 στο αρχείο καταγραφής συμβάντων συστήματος κάθε 60 λεπτά.
  
  Αναγνωριστικό συμβάντος 16984

  Αρχείο καταγραφής συμβάντων	Σύστημα
  Προέλευση συμβάντος	Directory-Services-SAM
  Αναγνωριστικό συμβάντος	16984
  Επίπεδο	Πληροφορίες
  Κείμενο μηνύματος συμβάντος	Ο διαχειριστής λογαριασμού ασφαλείας εντόπισε την αλλαγή κωδικού πρόσβασης παλαιού τύπου %x ή τον ορισμό κλήσεων μεθόδου RPC στα τελευταία 60 λεπτά.

• Μετά τη ρύθμιση παραμέτρων λεπτομερή καταγραφή συμβάντων, το αναγνωριστικό συμβάντος 16985 καταγράφεται στο αρχείο καταγραφής συμβάντων συστήματος κάθε φορά που χρησιμοποιείται μια μέθοδος RPC παλαιού τύπου για την αλλαγή ή τον ορισμό ενός κωδικού πρόσβασης λογαριασμού.
  
  Αναγνωριστικό συμβάντος 16985

  Αρχείο καταγραφής συμβάντων	Σύστημα
  Προέλευση συμβάντος	Directory-Services-SAM
  Αναγνωριστικό συμβάντος	16985
  Επίπεδο	Πληροφορίες
  Κείμενο μηνύματος συμβάντος	Ο διαχειριστής λογαριασμού ασφαλείας εντόπισε τη χρήση μιας αλλαγής παλαιού τύπου ή τον ορισμό μεθόδου RPC από ένα πρόγραμμα-πελάτη δικτύου. Εξετάστε το ενδεχόμενο να αναβαθμίσετε το λειτουργικό σύστημα ή την εφαρμογή του προγράμματος-πελάτη για να χρησιμοποιήσετε την πιο πρόσφατη και πιο ασφαλή έκδοση αυτής της μεθόδου. Λεπτομέρειες: Μέθοδος RPC: %1 Διεύθυνση δικτύου προγράμματος-πελάτη: %2 SID προγράμματος-πελάτη: %3 Όνομα χρήστη: %4

  Για να καταγράψετε λεπτομερή αναγνωριστικό συμβάντος 16985, κάντε εναλλαγή της ακόλουθης τιμής μητρώου στο διακομιστή ή τον ελεγκτή τομέα.

  Διαδρομή	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
  Τύπος	REG_DWORD
  Όνομα τιμής	AuditLegacyPasswordRpcMethods
  Δεδομένα τιμών	1 = η λεπτομερής καταγραφή είναι ενεργοποιημένη  0 ή δεν υπάρχει = λεπτομερής καταγραφή είναι απενεργοποιημένη. Μόνο συμβάντα σύνοψης. (Προεπιλογή)

Όπως περιγράφεται στο SamrUnicodeChangePasswordUser4 (Opnum 73), όταν χρησιμοποιείτε τη νέα μέθοδο SamrUnicodeChangePasswordUser4, ο υπολογιστής-πελάτης και ο διακομιστής θα χρησιμοποιήσουν τον αλγόριθμο PBKDF2 για να αντλήσουν ένα κλειδί κρυπτογράφησης και αποκρυπτογράφησης από τον παλιό κωδικό πρόσβασης απλού κειμένου. Αυτό συμβαίνει επειδή ο παλιός κωδικός πρόσβασης είναι το μόνο κοινό μυστικό που είναι γνωστό τόσο στο διακομιστή όσο και στο πρόγραμμα-πελάτη.  

Για περισσότερες πληροφορίες σχετικά με το PBKDF2, ανατρέξτε στη συνάρτηση BCryptDeriveKeyPBKDF2 (bcrypt.h).

Εάν πρέπει να κάνετε μια αλλαγή για λόγους επιδόσεων και ασφάλειας, μπορείτε να προσαρμόσετε τον αριθμό των αλλαγών PBKDF2 που χρησιμοποιούνται από το πρόγραμμα-πελάτη για αλλαγή κωδικού πρόσβασης, ορίζοντας την ακόλουθη τιμή μητρώου στο πρόγραμμα-πελάτη.

Διαδρομή	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Τύπος	REG_DWORD
Όνομα τιμής	PBKDF2Iterations
Δεδομένα τιμών	Τουλάχιστον 5.000 έως 1.000.000 το πολύ
Προεπιλεγμένη τιμή	10,000

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Απόκτηση κλειδιού περιόδου λειτουργίας SMB.

Η υποβάθμιση συμβαίνει όταν ο διακομιστής ή το πρόγραμμα-πελάτης δεν υποστηρίζει AES.   

Οι ενημερωμένοι διακομιστές θα κατα καταγραφή συμβάντων όταν χρησιμοποιούνται μέθοδοι παλαιού τύπου με RC4. 

Προς το παρόν, δεν υπάρχει διαθέσιμη λειτουργία επιβολής, αλλά ενδέχεται να υπάρχει στο μέλλον. Δεν έχουμε ημερομηνία. 

Εάν μια συσκευή άλλου κατασκευαστή δεν χρησιμοποιεί το πρωτόκολλο SAMR, αυτό δεν είναι σημαντικό. Οι τρίτοι προμηθευτές που υλοποιούν το πρωτόκολλο MS-SAMR μπορούν να επιλέξουν να το εφαρμόσουν. Επικοινωνήστε με τον τρίτο προμηθευτή για τυχόν ερωτήσεις. 

Δεν απαιτούνται πρόσθετες αλλαγές.  

Αυτό το πρωτόκολλο είναι παλαιού τύπου και αναμένουμε ότι η χρήση του είναι πολύ χαμηλή. Οι εφαρμογές παλαιού τύπου ενδέχεται να χρησιμοποιούν αυτά τα API. Επίσης, ορισμένα εργαλεία της υπηρεσίας καταλόγου Active Directory, όπως οι χρήστες AD και οι υπολογιστές MMC, χρησιμοποιούν SAMR.

Όχι. Επηρεάζονται μόνο οι αλλαγές κωδικού πρόσβασης που χρησιμοποιούν αυτά τα συγκεκριμένα API SAMR.

Ναι. Το PBKDF2 είναι πιο ακριβό από το RC4. Εάν υπάρχουν πολλές αλλαγές κωδικού πρόσβασης που συμβαίνουν ταυτόχρονα στον ελεγκτή τομέα που καλεί το API SamrUnicodeChangePasswordUser4, ενδέχεται να επηρεαστεί ο φόρτος της CPU του LSASS. Μπορείτε να ρυθμίσετε τις εκκλήσεις PBKDF2 σε προγράμματα-πελάτες, εάν είναι απαραίτητο, ωστόσο δεν συνιστάται η μείωση από την προεπιλογή, καθώς αυτό θα μειωνούσε την ασφάλεια.