OPPDATERT 20. mars 2023 – Tilgjengelighetsdelen
Oppsummering
Remote Protocol (Distributed Component Object Model) (DCOM) er en protokoll for å eksponere programobjekter ved hjelp av eksterne prosedyrekall (RPCer). DCOM brukes til kommunikasjon mellom programvarekomponentene på nettverksenheter. Herdingsendringer i DCOM var nødvendig for CVE-2021-26414. Derfor anbefalte vi at du bekrefter om klient- eller serverprogrammer i miljøet ditt som bruker DCOM eller RPC fungerer som forventet med de harde endringene som er aktivert.
Obs! Vi anbefaler på det sterkeste at du installerer den nyeste sikkerhetsoppdateringen som er tilgjengelig. De gir avansert beskyttelse mot de nyeste sikkerhetstruslene. De gir også funksjoner som vi har lagt til for å støtte overføring. Hvis du vil ha mer informasjon og kontekst om hvordan vi herder DCOM, kan du se DCOM-godkjenningsherding: det du trenger å vite.
Den første fasen av DCOM-oppdateringer ble utgitt 8. juni 2021. I denne oppdateringen ble DCOM-herding deaktivert som standard. Du kan aktivere dem ved å endre registeret som beskrevet i delen Registerinnstilling for å aktivere eller deaktivere herdingsendringene nedenfor. Den andre fasen av DCOM-oppdateringer ble utgitt 14. juni 2022. Dette endret herdingen til aktivert som standard, men beholdt muligheten til å deaktivere endringene ved hjelp av innstillingene for registernøkkel. Den siste fasen av DCOM-oppdateringer vil bli utgitt i mars 2023. Det vil holde DCOM-herding aktivert og fjerne muligheten til å deaktivere den.
Tidslinje
|
Oppdater utgivelse |
Endring av virkemåte |
|
8. juni 2021 kl. |
Fase 1 Utgivelse – Herding av endringer deaktivert som standard, men med muligheten til å aktivere dem ved hjelp av en registernøkkel. |
|
14. juni 2022 kl. |
Fase 2 Utgivelse – Herding av endringer aktivert som standard, men med muligheten til å deaktivere dem ved hjelp av en registernøkkel. |
|
14. mars 2023 kl. |
Fase 3 Utgivelse – Herding av endringer aktivert som standard uten mulighet til å deaktivere dem. På dette tidspunktet må du løse eventuelle kompatibilitetsproblemer med de herdede endringene og programmene i miljøet ditt. |
Testing for DCOM-herdingskompatibilitet
Nye DCOM-feilhendelser
For å hjelpe deg med å identifisere programmene som kan ha kompatibilitetsproblemer etter at vi har aktivert endringer i DCOM-sikkerhetsherding, har vi lagt til nye DCOM-feilhendelser i systemloggen. Se tabellene nedenfor. Systemet logger disse hendelsene hvis det oppdager at et DCOM-klientprogram prøver å aktivere en DCOM-server ved hjelp av et godkjenningsnivå som er mindre enn RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Du kan spore til klientenheten fra hendelsesloggen på serversiden og bruke hendelseslogger på klientsiden til å finne programmet.
Serverhendelser - Angir at serveren mottar forespørsler på lavere nivå
|
Hendelses-ID |
Melding |
|---|---|
|
10036 |
"Policyen for godkjenningsnivå på serversiden tillater ikke brukeren %1\%2 SID (%3) fra adressen %4 for å aktivere DCOM-serveren. Opphøy aktiveringsgodkjenningsnivået minst for å RPC_C_AUTHN_LEVEL_PKT_INTEGRITY i klientprogrammet.» (%1 – domene, %2 – brukernavn, %3 – bruker-SID, %4 – klient-IP-adresse) |
Klienthendelser – Angi hvilket program som sender forespørsler på lavere nivå
|
Hendelses-ID |
Melding |
|---|---|
|
10037 |
"Programmet %1 med PIDen %2 ber om å aktivere CLSID %3 på datamaskinen %4 med eksplisitt angitt godkjenningsnivå på %5. Det laveste aktiveringsgodkjenningsnivået som kreves av DCOM, er 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Hvis du vil øke godkjenningsnivået for aktivering, kontakter du programleverandøren.» |
|
10038 |
"Programmet %1 med PIDen %2 ber om å aktivere CLSID %3 på datamaskinen %4 med standard godkjenningsnivå for aktivering på %5. Det laveste aktiveringsgodkjenningsnivået som kreves av DCOM, er 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Hvis du vil øke godkjenningsnivået for aktivering, kontakter du programleverandøren.» (%1 – programbane, %2 – program-PID, %3 – CLSID for COM-klassen som programmet ber om å aktivere, %4 – datamaskinnavn, %5 – verdien for godkjenningsnivå) |
Tilgjengelighet
Disse feilhendelsene er bare tilgjengelige for et delsett av Windows-versjoner. se tabellen nedenfor.
|
Windows-versjon |
Tilgjengelig på eller etter disse datoene |
|---|---|
|
Windows Server 2022 |
27. september 2021 kl. |
|
Windows 10, versjon 2004, Windows 10, versjon 20H2, Windows 10, versjon 21H1 |
1. september 2021 kl. |
|
Windows 10, versjon 1909 |
26. august 2021 kl. |
|
Windows Server 2019, Windows 10, versjon 1809 |
26. august 2021 kl. |
|
Windows Server 2016, Windows 10, versjon 1607 |
14. september 2021 |
|
Windows Server 2012 R2 og Windows 8.1 |
12. oktober 2021 |
|
Windows 11, versjon 22H2 |
30. september 2022 kl. |
Oppdatering av automatisk opphøyning på klientsiden
Godkjenningsnivå for alle ikke-anonyme aktiveringsforespørsler
For å redusere problemer med appkompatibilitet, har vi automatisk hevet godkjenningsnivået for alle ikke-anonyme aktiveringsforespørsler fra Windows-baserte DCOM-klienter for å RPC_C_AUTHN_LEVEL_PKT_INTEGRITY på et minimum. Med denne endringen godtas de fleste Windows-baserte DCOM-klientforespørsler automatisk med DCOM-herdingsendringer aktivert på serversiden uten ytterligere endringer i DCOM-klienten. I tillegg vil de fleste Windows DCOM-klienter automatisk fungere med DCOM-herdingsendringer på serversiden uten ytterligere endringer i DCOM-klienten.
Obs! Denne oppdateringen vil fortsatt være inkludert i de kumulative oppdateringene.
Oppdater tidslinje for oppdatering
Siden den første utgivelsen i november 2022, har auto-elevate-oppdateringen hatt noen oppdateringer.
-
Oppdatering for november 2022
-
Denne oppdateringen økte automatisk godkjenningsnivået for aktivering til pakkeintegritet. Denne endringen ble deaktivert som standard på Windows Server 2016 og Windows Server 2019.
-
-
Oppdatering for desember 2022
-
November-endringen ble aktivert som standard for Windows Server 2016 og Windows Server 2019.
-
Denne oppdateringen løste også et problem som påvirket anonym aktivering på Windows Server 2016 og Windows Server 2019.
-
-
Oppdatering for januar 2023
-
Denne oppdateringen løste et problem som påvirket anonym aktivering på plattformer fra Windows Server 2008 til Windows 10 (opprinnelig versjon utgitt juli 2015).
-
Hvis du har installert de kumulative sikkerhetsoppdateringene fra og med januar 2023 på klienter og servere, vil de ha den nyeste automatisk utvidede oppdateringen fullstendig aktivert.
Registerinnstilling for å aktivere eller deaktivere de harde endringene
I tidslinjefasene der du kan aktivere eller deaktivere herdingsendringene for CVE-2021-26414, kan du bruke følgende registernøkkel:
-
Bane: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Verdinavn: "RequireIntegrityActivationAuthenticationLevel"
-
Type: dword
-
Verdidata: standard = 0x00000000 betyr deaktivert. 0x00000001 betyr aktivert. Hvis denne verdien ikke er definert, aktiveres den som standard.
Merk Du må angi verdidata i heksadesimalt format.
Viktig! Du må starte enheten på nytt etter at du har angitt denne registernøkkelen for at den skal tre i kraft.
Obs! Hvis du aktiverer registernøkkelen ovenfor, får DCOM-servere til å fremtvinge en Authentication-Level av RPC_C_AUTHN_LEVEL_PKT_INTEGRITY eller høyere for aktivering. Dette påvirker ikke anonym aktivering (aktivering ved hjelp av godkjenningsnivå RPC_C_AUTHN_LEVEL_NONE). Hvis DCOM-serveren tillater anonym aktivering, vil det fremdeles være tillatt selv med DCOM-herdingsendringer er aktivert.
Obs! Denne registerverdien finnes ikke som standard. du må opprette den. Windows leser det hvis det finnes og vil ikke overskrive det.
Obs! Installasjon av senere oppdateringer vil verken endres eller fjerne eksisterende registeroppføringer og innstillinger.
