ОБНОВЛЕНО 20 марта 2023 г. — раздел "Доступность"
Сводка
Протокол remote Component Object Model (DCOM) — это протокол для предоставления объектов приложения с помощью удаленных вызовов процедур (RPC). DCOM используется для обмена данными между программными компонентами сетевых устройств. Для CVE-2021-26414 требовались изменения защиты в DCOM. Поэтому рекомендуется проверить, работают ли клиентские или серверные приложения в вашей среде, использующие DCOM или RPC, должным образом с включенными изменениями защиты.
Примечание Настоятельно рекомендуется установить последнее доступное обновление для системы безопасности. Они обеспечивают расширенную защиту от последних угроз безопасности. Они также предоставляют возможности, которые мы добавили для поддержки миграции. Дополнительные сведения и контекст о том, как мы ужесточаем DCOM, см. в разделе Защита проверки подлинности DCOM: что вам нужно знать.
Первый этап обновлений DCOM был выпущен 8 июня 2021 г. В этом обновлении защита DCOM была отключена по умолчанию. Их можно включить, изменив реестр, как описано в разделе "Параметр реестра для включения или отключения изменений защиты" ниже. Второй этап обновлений DCOM был выпущен 14 июня 2022 г. По умолчанию защита была включена, но сохранена возможность отключения изменений с помощью параметров раздела реестра. Последний этап обновлений DCOM будет выпущен в марте 2023 г. Он сохранит включенную функцию защиты DCOM и удалит возможность ее отключения.
Временная шкала
|
Выпуск обновления |
Изменение поведения |
|
8 июня 2021 г. |
Этап 1. Усиление защиты изменений, отключенных по умолчанию, но с возможностью их включения с помощью раздела реестра. |
|
14 июня 2022 г. |
Этап 2 Выпуска. Усиление защиты изменений, включенных по умолчанию, но с возможностью их отключения с помощью раздела реестра. |
|
14 марта 2023 г. |
Этап выпуска 3. Усиление защиты изменений, включенных по умолчанию без возможности их отключения. К этому моменту необходимо устранить все проблемы совместимости с изменениями защиты и приложениями в вашей среде. |
Тестирование совместимости защиты DCOM
Новые события ошибок DCOM
Чтобы помочь вам определить приложения, которые могут иметь проблемы совместимости после включения изменений защиты безопасности DCOM, мы добавили новые события ошибок DCOM в системный журнал. См. приведенные ниже таблицы. Система регистрирует эти события, если обнаруживает, что клиентское приложение DCOM пытается активировать сервер DCOM с уровнем проверки подлинности, который меньше RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Вы можете выполнить трассировку до клиентского устройства из журнала событий на стороне сервера и использовать журналы событий на стороне клиента для поиска приложения.
События сервера — Указать, что сервер получает запросы более низкого уровня
|
Идентификатор события |
Сообщение |
|---|---|
|
10036 |
"Политика уровня проверки подлинности на стороне сервера не позволяет пользователю %1\%2 SID (%3) с адреса %4 активировать сервер DCOM. Повысьте уровень проверки подлинности активации по крайней мере до RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клиентском приложении". (%1 — домен, %2 — имя пользователя, %3 — идентификатор безопасности пользователя, %4 — IP-адрес клиента) |
События клиента — указывает, какое приложение отправляет запросы более низкого уровня.
|
Идентификатор события |
Сообщение |
|---|---|
|
10037 |
"Приложение %1 с PID %2 запрашивает активацию CLSID %3 на компьютере %4 с явно заданным уровнем проверки подлинности на уровне %5. Самый низкий уровень проверки подлинности активации для DCOM — 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Чтобы повысить уровень проверки подлинности активации, обратитесь к поставщику приложения". |
|
10038 |
"Приложение %1 с PID %2 запрашивает активацию CLSID %3 на компьютере %4 с уровнем проверки подлинности активации по умолчанию на %5. Самый низкий уровень проверки подлинности активации для DCOM — 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Чтобы повысить уровень проверки подлинности активации, обратитесь к поставщику приложения". (%1 — путь к приложению, %2 — PID приложения, %3 — CLSID класса COM, который приложение запрашивает для активации, %4 — имя компьютера, %5 — значение уровня проверки подлинности) |
Доступность
Эти события ошибок доступны только для подмножества версий Windows; см. таблицу ниже.
|
Версия Windows |
Доступно в эти даты или позже |
|---|---|
|
Windows Server 2022 |
27 сентября 2021 г. |
|
Windows 10, версия 2004, Windows 10, версия 20H2, Windows 10, версия 21H1 |
1 сентября 2021 г. |
|
Windows 10 версии 1909 |
26 августа 2021 г. |
|
Windows Server 2019, Windows 10, версия 1809 |
26 августа 2021 г. |
|
Windows Server 2016, Windows 10, версия 1607 |
14 сентября 2021 г. |
|
Windows Server 2012 R2 и Windows 8.1 |
12 октября 2021 г. |
|
Windows 11, версия 22H2 |
30 сентября 2022 г. |
Исправление автоматического повышения прав на запрос клиента
Уровень проверки подлинности для всех неанонимных запросов активации
Чтобы уменьшить проблемы с совместимостью приложений, мы автоматически подняли уровень проверки подлинности для всех неанонимных запросов на активацию от клиентов DCOM под управлением Windows, чтобы RPC_C_AUTHN_LEVEL_PKT_INTEGRITY как минимум. При этом изменении большинство клиентских запросов DCOM под управлением Windows будут автоматически приниматься с включенными изменениями защиты DCOM на стороне сервера без каких-либо дальнейших изменений в клиенте DCOM. Кроме того, большинство клиентов Windows DCOM будут автоматически работать с изменениями защиты DCOM на стороне сервера без каких-либо дальнейших изменений в клиенте DCOM.
Примечание Это исправление будет по-прежнему включаться в накопительные обновления.
Временная шкала обновления исправлений
С момента первоначального выпуска в ноябре 2022 г. исправление с автоматическим повышением привилегий было выпущено несколько обновлений.
-
Обновление за ноябрь 2022 г.
-
Это обновление автоматически повысило уровень проверки подлинности активации до целостности пакетов. Это изменение было отключено по умолчанию в Windows Server 2016 и Windows Server 2019.
-
-
Обновление за декабрь 2022 г.
-
Ноябрьское изменение было включено по умолчанию для Windows Server 2016 и Windows Server 2019.
-
В этом обновлении также устранена проблема, которая повлияла на анонимную активацию в Windows Server 2016 и Windows Server 2019.
-
-
Обновление за январь 2023 г.
-
В этом обновлении устранена проблема, которая повлияла на анонимную активацию на платформах с Windows Server 2008 до Windows 10 (начальная версия, выпущенная в июле 2015 г.).
-
Если вы установили накопительные обновления для системы безопасности с января 2023 г. на своих клиентах и серверах, на них будет полностью включено последнее исправление с автоматическим повышением привилегий.
Параметр реестра для включения или отключения изменений защиты
На этапах временной шкалы, на которых можно включить или отключить изменения защиты для CVE-2021-26414, можно использовать следующий раздел реестра:
-
Путь: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Имя значения: RequireIntegrityActivationAuthenticationLevel
-
Тип: dword
-
Значение Data: default= 0x00000000 означает отключено. 0x00000001 означает, что включено. Если это значение не определено, по умолчанию оно будет включено.
Примечание Необходимо ввести данные значений в шестнадцатеричном формате.
Важно! Чтобы оно вступило в силу, необходимо перезапустить устройство после установки этого раздела реестра.
Примечание Включение раздела реестра выше приведет к принудительному применению Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY или выше для активации серверов DCOM. Это не влияет на анонимную активацию (активацию с помощью RPC_C_AUTHN_LEVEL_NONE уровня проверки подлинности). Если сервер DCOM разрешает анонимную активацию, она по-прежнему будет разрешена, даже если включены изменения защиты DCOM.
Примечание Это значение реестра не существует по умолчанию; его необходимо создать. Windows считывает его, если он существует, и не перезапишет его.
Примечание Установка более поздних обновлений не приведет к изменению и удалению существующих записей и параметров реестра.
