KB5004605: naujinimas įtraukia AES šifravimo apsaugą į MS-SAMR protokolą, naudojamą CVE-2021-33757

• Slaptažodžio keitimo šablonas

  Naujinimai modifikuoja protokolo slaptažodžio keitimo modelį įtraukdami naują slaptažodžio keitimo metodą, kuris naudos AES.

  Senasis metodas su RC4	Naujas metodas su AES
  SamrUnicodeChangePasswordUser2 (OpNum 55)	SamrUnicodeChangePasswordUser4 (OpNum 73)

  Visą MS-SAMR opNums sąrašą rasite Pranešimų apdorojimo įvykiai irSekos taisyklės .

• Slaptažodžių rinkinio šablonas

  Naujinimai modifikuoja protokolo slaptažodžių rinkinio modelį įtraukdami dvi naujas vartotojo informacijos klases į SamrSetInformationUser2 (Opnum 58) metodą. Slaptažodžio informaciją galite nustatyti taip:

  Senasis metodas su RC4	Naujas metodas su AES
  SamrSetInformationUser2 (Opnum 58) kartu su UserInternal4InformationNew, kuriame yra užšifruotas vartotojo slaptažodis su RC4.	SamrSetInformationUser2 (Opnum 58) kartu su UserInternal8Information, kurioje yra užšifruotas vartotojo slaptažodis su AES.
  SamrSetInformationUser2 (Opnum 58) kartu su UserInternal5InformationNew, kuriame yra šifruotas vartotojo slaptažodis su RC4 ir visais kitais vartotojo atributais.	SamrSetInformationUser2 (Opnum 58) kartu su UserInternal7Information, kurioje yra užšifruotas slaptažodis su AES ir visais kitais vartotojo atributais.

Esamas "SamrConnect5" metodas paprastai naudojamas norint užmegzti ryšį tarp SAM kliento ir serverio.

Atnaujintas serveris dabar grąžins naują bitą "SamrConnect5() atsakyme, kaip apibrėžta "SAMPR_REVISION_INFO_V1". 

Reikšmė	Reikšmė
0x00000010	Gavus kliento, ši reikšmė, kai nustatyta, nurodo, kad klientas turėtų naudoti AES šifravimą su SAMPR_ENCRYPTED_PASSWORD_AES struktūra, kad šifruotų slaptažodžių buferius, kai jie siunčiami laidu. Žr. AES šifro naudojimas (3.2.2.4 skyrius)ir SAMPR_ENCRYPTED_PASSWORD_AES (2.2.6.32 skyrius).

Jei atnaujintas serveris palaiko AES, klientas slaptažodžių operacijoms naudos naujus metodus ir naujas informacijos klases. Jei serveris negrąžina šios vėliavėlės arba klientas neatnaujinamas, klientas grįš prie ankstesnių metodų su RC4 šifravimu.

Slaptažodžio rinkinio operacijoms reikia rašomojo domeno valdiklio (RWDC). Slaptažodžio pakeitimus persiunčia tik skaitymo domeno valdiklis (RODC) į RWDC. Visi įrenginiai turi būti atnaujinti, kad būtų galima naudoti AES. Pavyzdžiui:

• Jei klientas, RODC arba RWDC neatnaujinamas, bus naudojamas RC4 šifravimas.

• Jei klientas, RODC ir RWDC atnaujinami, bus naudojamas AES šifravimas.

2021 m. liepos 13 d. naujinimai įtraukia keturis naujus įvykius į sistemos žurnalą, kad padėtų identifikuoti įrenginius, kurie nėra atnaujinti ir padeda pagerinti saugą.

• Konfigūracijos būsena Įvykio ID 16982 arba 16983 užregistruojamas paleidžiant arba po registro konfigūracijos keitimo.
  
  Įvykio ID 16982

  Įvykių žurnalas	Sistema
  Įvykio šaltinis	Directory-Services-SAM
  Įvykio ID	16982
  Lygis	Informacija
  Įvykio pranešimo tekstas	Saugos paskyrų tvarkytuvas dabar registruos daugiažodžius įvykius nuotoliniams klientams, kurie vadina senstelėjusio slaptažodžio keitimą arba nustato RPC metodus. Šis parametras gali sukelti daug pranešimų ir jį galima naudoti tik trumpą laiką problemoms diagnozuoti.

  
  Įvykio ID 16983

  Įvykių žurnalas	Sistema
  Įvykio šaltinis	Directory-Services-SAM
  Įvykio ID	16983
  Lygis	Informacija
  Įvykio pranešimo tekstas	Saugos paskyrų tvarkytuvas dabar registruos periodinius suvestinės įvykius nuotoliniams klientams, kurie vadina senstelėjusio slaptažodžio keitimą arba nustato RPC metodus.

• Pritaikius 2021 m. liepos 13 d. naujinimą, kas 60 minučių sistemos įvykių žurnale užregistruojamas suvestinės įvykis 16984.
  
  Įvykio ID 16984

  Įvykių žurnalas	Sistema
  Įvykio šaltinis	Directory-Services-SAM
  Įvykio ID	16984
  Lygis	Informacija
  Įvykio pranešimo tekstas	Saugos paskyrų tvarkytuvas aptiko %x senstelėjusį slaptažodžio keitimą arba nustatė RPC metodo skambučius per pastarąsias 60 minučių.

• Sukonfigūravę išsamų įvykių registravimą, įvykio ID 16985 užregistruojamas sistemos įvykių žurnale kiekvieną kartą, kai senstelėjęs RPC metodas naudojamas paskyros slaptažodžiui keisti arba nustatyti.
  
  Įvykio ID 16985

  Įvykių žurnalas	Sistema
  Įvykio šaltinis	Directory-Services-SAM
  Įvykio ID	16985
  Lygis	Informacija
  Įvykio pranešimo tekstas	Saugos paskyrų tvarkytuvas aptiko senstelėjusio keitimo naudojimą arba nustatė RPC metodą iš tinklo kliento. Apsvarstykite galimybę atnaujinti kliento operacinę sistemą arba taikomąją programą, kad būtų galima naudoti naujausią ir saugesnę šio metodo versiją. Išsami informacija: RPC metodas: %1 Kliento tinklo adresas: %2 Kliento SID: %3 Vartotojo vardas: %4

  Norėdami prisijungti prie daugiažodio įvykio ID 16985, perjunkite šią registro reikšmę serveryje arba domeno valdiklyje.

  Kelias	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
  Tipas	REG_DWORD
  Reikšmės pavadinimas	AuditLegacyPasswordRpcMethods
  Reikšmės duomenys	1 = įgalintas daugiažodis registravimas  0 arba nėra = daugiažodis registravimas yra išjungtas. Tik suvestinės įvykiai. (Numatytoji reikšmė)

Kaip aprašyta SamrUnicodeChangePasswordUser4 (Opnum 73), kai naudojate naują SamrUnicodeChangePasswordUser4 metodą, klientas ir serveris naudos PBKDF2 algoritmą, kad gautų šifravimo ir iššifravimo raktą iš paprastojo teksto senojo slaptažodžio. Taip yra todėl, kad senasis slaptažodis yra vienintelė įprasta paslaptis, žinoma tiek serveriui, tiek klientui.  

Daugiau informacijos apie PBKDF2 žr. Funkcija BCryptDeriveKeyPBKDF2 (bcrypt.h).

Jei turite pakeisti veikimo ir saugos sumetimais, galite koreguoti PBKDF2 iteracijų, kuriuos klientas naudoja keisdami slaptažodį, skaičių nustatydami šią kliento registro reikšmę.

Kelias	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Tipas	REG_DWORD
Reikšmės pavadinimas	PBKDF2Iterations
Reikšmės duomenys	Mažiausiai nuo 5 000 iki daugiausia 1 000 000
Numatytoji reikšmė	10,000

Daugiau informacijos žr. SMB seanso rakto įsigijimas.

Ankstesnės versijos diegimas įvyksta, kai serveris arba klientas nepalaiko AES.   

Atnaujinti serveriai registruos įvykius, kai naudojami senstelėję metodai su RC4. 

Šiuo metu vykdymo režimo nėra, tačiau gali būti ir ateityje. Neturime datos. 

Jei trečiosios šalies įrenginys nenaudoja SAMR protokolo, tai nėra svarbu. Trečiųjų šalių tiekėjai, kurie įgyvendina MS-SAMR protokolą, gali pasirinkti tai įgyvendinti. Jei reikia klausimų, susisiekite su trečiosios šalies tiekėju. 

Nereikia atlikti jokių papildomų keitimų.  

Šis protokolas yra senstelėjusi ir tikimės, kad jo naudojimas yra labai mažas. Senstelėjusios taikomosios programos gali naudoti šias API. Be to, kai kurie "Active Directory" įrankiai, pvz., AD vartotojai ir kompiuteriai MMC, naudoja SAMR.

ne. Paveikiami tik slaptažodžių keitimai, naudojantys šiuos konkrečius SAMR API.

taip. PBKDF2 yra brangesnis nei RC4. Jei tuo pačiu metu domeno valdiklyje, kuris skambina SamrUnicodeChangePasswordUser4 API, yra daug slaptažodžių keitimų, gali būti paveikta LSASS CPU apkrova. Jei reikia, galite koreguoti PBKDF2 iteracijas klientams, tačiau mes nerekomenduojame mažinti pagal numatytuosius parametrus, nes tai sumažins saugą.