Kerberos KDC漏洞(CVE-2020-17049)应对指南
微软于2020年11月10日(美国时间)公开了Kerberos KDC(密钥分发中心)的漏洞信息CVE-2020-17049,并发布了相应的安全更新程序。修复此漏洞不仅需要在林中的所有DC(域控制器)和RODC(只读域控制器)上部署安全更新,还可能需执行额外的应对步骤。本文为Active Directory管理员提供应对指南。
漏洞概述
CVE-2020-17049是KDC在通过Kerberos约束委派(KCD)判断服务票据是否可用于委派时存在的安全功能绕过漏洞。攻击者可利用已配置KCD的受侵服务篡改无效服务票据,强制KDC接受。通过更改KDC验证KCD所用服务票据的方式,此漏洞得以解决。CVSS基础评分为“6.6”。
安全更新对象产品
(截至2020年12月9日)
| Windows服务器版本 | 知识库文章编号 |
|---|---|
| Windows Server 2008 | 4592498(月度汇总)4592504(仅安全) |
| Windows Server 2008 R2 | 4592471(月度汇总)4592503(仅安全) |
| Windows Server 2012 | 4586834(月度汇总)4586808(仅安全) |
| Windows Server 2012 R2 | 4586845(月度汇总)4586823(仅安全) |
| Windows Server 2016 | 4586830 |
| Windows Server 2019 | 4586793 |
| Windows Server 1903/1909 | 4586786 |
| Windows Server 2004/20H2 | 4586781 |
11月10日发布的安全更新存在已知问题,修正后的更新已在Microsoft更新目录中额外发布。建议受影响用户应用11月10日的安全更新及额外更新。
| Windows服务器版本 | 知识库文章编号 |
|---|---|
| Windows Server 2012 | 4594438 |
| Windows Server 2012 R2 | 4594439 |
| Windows Server 2016 | 4594441 |
| Windows Server 2019 | 4594442 |
| Windows Server 1903/1909 | 4594443 |
| Windows Server 2004/20H2 | 4594440 |
注意:
- 对于Windows Server 2012/2012 R2,应用仅安全更新的用户需应用额外更新,应用月度汇总的用户需应用最新月度汇总。
- Windows Server 2016及以上版本为累积更新,请应用最新安全更新。
额外应对步骤
部署11月10日发布的安全更新时,建议按以下步骤操作:
-
设置以下注册表键值。若已存在,确认其值为“1”。
重要:此部分涉及注册表修改。错误修改可能导致严重问题。修改前请备份注册表。详情参见知识库文章322756。
注册表子项 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc 值名称 PerformTicketSignature 数据类型 REG_DWORD 数据 0 - 禁用票据签名,域不受保护。
1 - 修复在域控制器上启用,但不强制要求票据符合修复。
2 - 启用强制模式,要求所有域均打补丁,且所有DC需签名票据。默认值 1(未设置注册表键时) 需重启? 否 -
确认林中所有DC和RODC已部署安全更新。
注意:计划于2021年4月13日(美国时间)进入第二部署阶段,2021年7月13日(美国时间)进入强制模式阶段。2021年4月发布的安全更新中,若上述注册表键设为0,行为将等同于1。2021年7月发布的安全更新将忽略该键,进入不可更改的强制模式。有疑虑的用户应尽早使用该注册表键验证强制模式是否影响环境。详情参见知识库4598347。
应用后已知问题
11月10日安全更新应用后,根据“PerformTicketSignature”设置值可能出现以下问题。建议受影响用户应用最新安全更新(若使用仅安全更新,则应用11月额外更新)。
- 设置值0:可能影响使用S4U(用户服务)的场景(如计划任务、集群、LoB应用程序服务)的认证。
- 设置值1(默认值,未设置注册表时):可能影响非Windows客户端(如Linux)使用Kerberos认证到Windows域。
- 在应用11月安全更新的DC上,尝试更新应由该DC更新的Kerberos票据的客户端,若票据由未应用11月更新的DC或Windows Server 2008/2008 R2 SP1上的DC签发,更新会失败。
- 从0改为1时,若存在可更新但未在应用11月更新的DC上解决的未决Kerberos票据,可能发生类似问题。
- 通过未应用11月更新的DC或Windows Server 2008/2008 R2 SP1上的DC处理Kerberos引用票据时,Windows与非Windows设备间的跨域引用可能失败。
- 设置值2:启用强制模式后,不符合此次安全修复的Kerberos票据将被拒绝。若未所有DC应用安全更新,可能导致认证问题。目前,若存在Windows Server 2008/2008 R2 SP1上的DC,不建议设置此值。
最新信息请参考以下官方资源:
- 安全更新指南:Kerberos KDC安全功能绕过漏洞 https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2020-17049
- Windows发布信息(Windows 10 20H2):企业中的域控制器可能遇到Kerberos认证问题 https://docs.microsoft.com/ja-jp/windows/release-information/status-windows-10-20h2#1522msgdesc
- 2020年12月9日:新增Windows Server 2008/2008 R2安全更新,更新了已知问题应对。
- 2020年12月17日:补充计划于2021年2月转入强制模式。
- 2021年1月13日:更改了转入强制模式的计划。