UPPDATERAT 20 mars 2023 – avsnittet Tillgänglighet
Sammanfattning
DCOM Remote Protocol (Distributed Component Object Model) är ett protokoll för att exponera programobjekt med RPCs (Remote Procedure Calls). DCOM används för kommunikation mellan programvarukomponenter i nätverksenheter. Härdningsändringar i DCOM krävdes för CVE-2021-26414. Därför rekommenderar vi att du kontrollerar om klient- eller serverprogram i din miljö som använder DCOM eller RPC fungerar som förväntat med härdningsändringarna aktiverade.
Obs! Vi rekommenderar att du installerar den senaste säkerhetsuppdateringen. De ger avancerat skydd mot de senaste säkerhetshoten. De innehåller också funktioner som vi har lagt till för att stödja migrering. Mer information och sammanhang om hur vi härdar DCOM finns i DCOM-autentiseringshärdning: vad du behöver veta.
Den första fasen av DCOM-uppdateringarna släpptes den 8 juni 2021. I den uppdateringen inaktiverades DCOM-härdning som standard. Du kan aktivera dem genom att ändra registret enligt beskrivningen i avsnittet "Registerinställning för att aktivera eller inaktivera härdningsändringarna" nedan. Den andra fasen av DCOM-uppdateringarna släpptes den 14 juni 2022. Det ändrade härdningen till aktiverad som standard men behöll möjligheten att inaktivera ändringarna med hjälp av registernyckelinställningarna. Slutfasen av DCOM-uppdateringarna kommer att släppas i mars 2023. Det kommer att hålla DCOM härdning aktiverat och ta bort möjligheten att inaktivera den.
Tidslinje
|
Uppdateringsversion |
Beteendeändring |
|
den 8 juni 2021 |
Fas 1 - Härdningsändringar inaktiveras som standard, men med möjlighet att aktivera dem med hjälp av en registernyckel. |
|
den 14 juni 2022 |
Fas 2 - Härdningsändringar aktiverade som standard, men med möjlighet att inaktivera dem med hjälp av en registernyckel. |
|
den 14 mars 2023 |
Fas 3 - Härdningsändringar aktiverade som standard utan möjlighet att inaktivera dem. Vid det här laget måste du lösa eventuella kompatibilitetsproblem med härdningsändringar och program i din miljö. |
Testning av DCOM-härdningskompatibilitet
Nya DCOM-felhändelser
Vi har lagt till nya DCOM-felhändelser i systemloggen för att hjälpa dig att identifiera de program som kan ha kompatibilitetsproblem när vi har aktiverat DCOM-säkerhetshärdningsändringar. Se tabellerna nedan. Systemet loggar dessa händelser om det upptäcker att ett DCOM-klientprogram försöker aktivera en DCOM-server med en autentiseringsnivå som är mindre än RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Du kan spåra till klientenheten från händelseloggen på serversidan och använda klienthändelseloggar för att hitta programmet.
Serverhändelser – Ange att servern tar emot förfrågningar på lägre nivå
|
Händelse-ID |
Meddelande |
|---|---|
|
10036 |
"Principen på serversidans autentiseringsnivå tillåter inte att användaren %1\%2 SID (%3) från adressen %4 aktiverar DCOM-servern. Höj nivån för aktiveringsautentisering minst för att RPC_C_AUTHN_LEVEL_PKT_INTEGRITY i klientprogrammet". (%1 – domän, %2 – användarnamn, %3 – användar-SID, %4 – klient-IP-adress) |
Klienthändelser – Ange vilket program som skickar begäranden på lägre nivå
|
Händelse-ID |
Meddelande |
|---|---|
|
10037 |
"Application %1 with PID %2 is requesting to activate CLSID %3 on computer %4 with explicit set authentication level at %5. Den lägsta aktiveringsautentiseringsnivån som krävs av DCOM är 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Kontakta programleverantören om du vill höja nivån för aktiveringsautentisering." |
|
10038 |
"Application %1 with PID %2 is requesting to activate CLSID %3 on computer %4 with default activation authentication level at %5. Den lägsta aktiveringsautentiseringsnivån som krävs av DCOM är 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Kontakta programleverantören om du vill höja nivån för aktiveringsautentisering." (%1 – Programsökväg, %2 – Application PID, %3 – CLSID för COM-klassen som programmet begär att aktivera, %4 – datornamn, %5 – värdet för autentiseringsnivå) |
Tillgänglighet
Dessa felhändelser är endast tillgängliga för en delmängd av Windows-versioner. se tabellen nedan.
|
Windows-version |
Tillgänglig på eller efter dessa datum |
|---|---|
|
Windows Server 2022 |
den 27 september 2021 |
|
Windows 10 version 2004, Windows 10 version 20H2, Windows 10 version 21H1 |
den 1 september 2021 |
|
Windows 10 version 1909 |
den 26 augusti 2021 |
|
Windows Server 2019, Windows 10 version 1809 |
den 26 augusti 2021 |
|
Windows Server 2016, Windows 10 version 1607 |
14 september 2021 |
|
Windows Server 2012 R2 och Windows 8.1 |
12 oktober 2021 |
|
Windows 11 version 22H2 |
den 30 september 2022 |
Korrigering för automatisk höjning av klientbegäran
Autentiseringsnivå för alla icke-anonyma aktiveringsförfrågningar
För att minska appkompatibilitetsproblem har vi automatiskt höjt autentiseringsnivån för alla icke-anonyma aktiveringsförfrågningar från Windows-baserade DCOM-klienter till RPC_C_AUTHN_LEVEL_PKT_INTEGRITY som minst. Med den här ändringen accepteras de flesta Windows-baserade DCOM-klientbegäranden automatiskt med DCOM-härdningsändringar aktiverade på serversidan utan ytterligare ändringar av DCOM-klienten. Dessutom fungerar de flesta Windows DCOM-klienter automatiskt med DCOM-härdningsändringar på serversidan utan ytterligare ändringar i DCOM-klienten.
Obs! Den här korrigeringsfilen inkluderas fortfarande i de kumulativa uppdateringarna.
Uppdatera tidslinjen för korrigeringar
Sedan den första versionen i november 2022 har korrigeringsfilen för automatisk upphöjning haft några uppdateringar.
-
Novemberuppdateringen 2022
-
Den här uppdateringen höjde automatiskt aktiveringsautentiseringsnivån till paketintegritet. Den här ändringen inaktiverades som standard i Windows Server 2016 och Windows Server 2019.
-
-
Uppdatering i december 2022
-
Novemberändringen aktiverades som standard för Windows Server 2016 och Windows Server 2019.
-
Den här uppdateringen åtgärdade också ett problem som påverkade anonym aktivering på Windows Server 2016 och Windows Server 2019.
-
-
Januariuppdateringen 2023
-
Den här uppdateringen åtgärdade ett problem som påverkade anonym aktivering på plattformar från Windows Server 2008 till Windows 10 (första version från juli 2015).
-
Om du har installerat de kumulativa säkerhetsuppdateringarna från och med januari 2023 på dina klienter och servrar har de den senaste automatiska upphöjningskorrigeringen helt aktiverad.
Registerinställning för att aktivera eller inaktivera härdningsändringar
Under de faser på tidslinjen där du kan aktivera eller inaktivera härdningsändringarna för CVE-2021-26414 kan du använda följande registernyckel:
-
Sökväg: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Värdenamn: "RequireIntegrityActivationAuthenticationLevel"
-
Typ: dword
-
Värdedata: standard= 0x00000000 innebär inaktiverad. 0x00000001 innebär aktiverat. Om det här värdet inte är definierat aktiveras det som standard.
Observera Du måste ange värdedata i hexadecimalt format.
Viktigt! Du måste starta om enheten efter att du har angett den här registernyckeln för att den ska börja gälla.
Obs! Aktivering av registernyckeln ovan gör att DCOM-servrar framtvingar en Authentication-Level av RPC_C_AUTHN_LEVEL_PKT_INTEGRITY eller senare för aktivering. Detta påverkar inte anonym aktivering (aktivering med autentiseringsnivå RPC_C_AUTHN_LEVEL_NONE). Om DCOM-servern tillåter anonym aktivering är det fortfarande tillåtet även om DCOM-härdningsändringar är aktiverade.
Obs! Det här registervärdet finns inte som standard. måste du skapa den. Windows läser det om det finns och skriver inte över det.
Obs! Installation av senare uppdateringar kommer varken att ändra eller ta bort befintliga registerposter och inställningar.
