KB5004605: l'aggiornamento aggiunge le protezioni di crittografia AES al protocollo MS-SAMR per CVE-2021-33757

• Criterio di modifica della password

  Gli aggiornamenti modificano il modello di modifica della password del protocollo aggiungendo un nuovo metodo di modifica della password che userà AES.

  Metodo Old con RC4	Nuovo metodo con AES
  SamrUnicodeChangePasswordUser2 (OpNum 55)	SamrUnicodeChangePasswordUser4 (OpNum 73)

  Per un elenco completo degli opNum MS-SAMR, vedere Eventi di elaborazione dei messaggi e Regole di sequenziamento.

• Modello di set di password

  Gli aggiornamenti modificano il modello di set di password del protocollo aggiungendo due nuove classi di informazioni utente al metodo SamrSetInformationUser2 (Opnum 58). È possibile impostare le informazioni sulla password nel modo seguente.

  Metodo Old con RC4	Nuovo metodo con AES
  SamrSetInformationUser2 (Opnum 58) insieme a UserInternal4InformationNew che contiene una password utente crittografata con RC4.	SamrSetInformationUser2 (Opnum 58) insieme a UserInternal8Information che contiene una password utente crittografata con AES.
  SamrSetInformationUser2 (Opnum 58) insieme a UserInternal5InformationNew che contiene una password utente crittografata con RC4 e tutti gli altri attributi utente.	SamrSetInformationUser2 (Opnum 58) insieme a UserInternal7Information che contiene una password crittografata con AES e tutti gli altri attributi utente.

Il metodo SamrConnect5 esistente viene in genere usato per stabilire una connessione tra il client e il server SAM.

Un server aggiornato restituirà ora un nuovo bit nella risposta SamrConnect5() come definito in SAMPR_REVISION_INFO_V1. 

Valore	Significato
0x00000010	Alla ricezione da parte del client, questo valore, se impostato, indica che il client deve usare la crittografia AES con la struttura SAMPR_ENCRYPTED_PASSWORD_AES per crittografare i buffer delle password quando viene inviato in rete. Vedere Uso della crittografia AES (sezione 3.2.2.4)e SAMPR_ENCRYPTED_PASSWORD_AES (sezione 2.2.6.32).

Se il server aggiornato supporta AES, il client userà nuovi metodi e nuove classi di informazioni per le operazioni sulle password. Se il server non restituisce questo flag o se il client non viene aggiornato, il client torna a usare i metodi precedenti con la crittografia RC4.

Le operazioni di set di password richiedono un controller di dominio scrivibile (RWDC). Le modifiche delle password vengono inoltrate dal controller di dominio di sola lettura a un controller di dominio di sola lettura. Tutti i dispositivi devono essere aggiornati per poter usare AES. Ad esempio:

• Se il client, il controller di dominio di sola lettura o RWDC non viene aggiornato, verrà usata la crittografia RC4.

• Se il client, il controller di dominio di sola lettura e RWDC vengono aggiornati, verrà usata la crittografia AES.

Gli aggiornamenti del 13 luglio 2021 aggiungono quattro nuovi eventi al log di sistema per identificare i dispositivi non aggiornati e migliorare la sicurezza.

• Stato di configurazione L'ID evento 16982 o 16983 viene registrato all'avvio o in caso di modifica della configurazione del Registro di sistema.
  
  ID evento 16982

  Log eventi	Sistema
  Origine evento	Directory-Services-SAM
  ID evento	16982
  Livella	Informazioni
  Testo del messaggio dell'evento	Il gestore dell'account di sicurezza ora sta registrare eventi dettagliati per i client remoti che chiamano la modifica della password legacy o impostano metodi RPC. Questa impostazione può causare un numero elevato di messaggi e deve essere usata solo per un breve periodo di tempo per diagnosticare i problemi.

  
  ID evento 16983

  Log eventi	Sistema
  Origine evento	Directory-Services-SAM
  ID evento	16983
  Livella	Informazioni
  Testo del messaggio dell'evento	Il gestore dell'account di sicurezza ora sta registrare eventi di riepilogo periodici per i client remoti che chiamano la modifica della password legacy o impostano metodi RPC.

• Dopo aver applicato l'aggiornamento del 13 luglio 2021, un evento di riepilogo 16984 viene registrato nel log eventi di sistema ogni 60 minuti.
  
  ID evento 16984

  Log eventi	Sistema
  Origine evento	Directory-Services-SAM
  ID evento	16984
  Livella	Informazioni
  Testo del messaggio dell'evento	Il gestore dell'account di sicurezza ha rilevato la modifica della password legacy %x o ha impostato chiamate al metodo RPC negli ultimi 60 minuti.

• Dopo aver configurato la registrazione dettagliata degli eventi, l'ID evento 16985 viene registrato nel log eventi di sistema ogni volta che si usa un metodo RPC legacy per modificare o impostare la password di un account.
  
  ID evento 16985

  Log eventi	Sistema
  Origine evento	Directory-Services-SAM
  ID evento	16985
  Livella	Informazioni
  Testo del messaggio dell'evento	L'account manager di sicurezza ha rilevato l'uso di una modifica legacy o di un metodo RPC impostato da un client di rete. Valutare l'aggiornamento del sistema operativo client o dell'applicazione per usare la versione più recente e sicura di questo metodo. Dettagli: Metodo RPC: %1 Indirizzo di rete client: %2 SID client: %3 Nome utente: %4

  Per registrare l'ID evento dettagliato 16985, attivare o disattivare il valore del Registro di sistema seguente nel server o nel controller di dominio.

  Percorso	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
  Digitare	REG_DWORD
  Nome valore	AuditLegacyPasswordRpcMethods
  Dati valore	1 = la registrazione dettagliata è abilitata  0 o non presente = la registrazione dettagliata è disabilitata. Solo eventi di riepilogo. (Predefinito)

Come descritto in SamrUnicodeChangePasswordUser4 (Opnum 73), quando si usa il nuovo metodo SamrUnicodeChangePasswordUser4, il client e il server useranno l'algoritmo PBKDF2 per derivare una chiave di crittografia e decrittografia dalla vecchia password in testo normale. La vecchia password è infatti l'unico segreto comune noto sia al server che al client.  

Per altre informazioni su PBKDF2, vedere Funzione BCryptDeriveKeyPBKDF2 (bcrypt.h).

Se è necessario apportare una modifica per motivi di prestazioni e sicurezza, è possibile modificare il numero di iterazioni PBKDF2 usate dal client per la modifica della password impostando il valore del Registro di sistema seguente nel client.

Percorso	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Digitare	REG_DWORD
Nome valore	PBKDF2Iterations
Dati valore	Minimo da 5.000 a un massimo di 1.000.000
Valore predefinito	10,000

Per altre informazioni, vedere Acquisizione di una chiave di sessione SMB.

Il downgrade si verifica quando il server o il client non supporta AES.   

I server aggiornati registrano gli eventi quando vengono usati metodi legacy con RC4. 

Attualmente non è disponibile alcuna modalità di applicazione, ma potrebbe esserci in futuro. Non abbiamo una data. 

Se un dispositivo di terze parti non usa il protocollo SAMR, questo non è importante. I fornitori di terze parti che implementano il protocollo MS-SAMR possono scegliere di implementare questo protocollo. Contatta il fornitore di terze parti per qualsiasi domanda. 

Non sono necessarie altre modifiche.  

Questo protocollo è legacy e prevediamo che il suo utilizzo sia molto basso. Le applicazioni legacy possono usare queste API. Inoltre, alcuni strumenti di Active Directory, ad esempio Utenti e computer di Active Directory, mmc utilizzano LAR.SAMR.

No. Sono interessate solo le modifiche delle password che usano queste API SAMR specifiche.

Sì. PBKDF2 è più costoso di RC4. Se sono presenti molte modifiche delle password che si verificano contemporaneamente nel controller di dominio che chiama l'API SamrUnicodeChangePasswordUser4, il carico della CPU di LSASS potrebbe essere interessato. Se necessario, è possibile ottimizzare le iterazioni PBKDF2 nei client, ma non è consigliabile ridurre l'impostazione predefinita in quanto ciò ridurrebbe la sicurezza.