KB5004442 — управление изменениями для обхода компонентов безопасности Windows DCOM Server

Сводка

Удаленный протокол модели распределенных компонентов (DCOM) — это протокол для предоставления объектов приложения с помощью вызовов удаленных процедур (RPC). DCOM используется для обмена данными между программными компонентами сетевых устройств.  

Для CVE-2021-26414 требуется усиление защиты в DCOM. Поэтому рекомендуется убедиться, что клиентские или серверные приложения в вашей среде, использующие DCOM или RPC, работают должным образом с включенными изменениями защиты.

Чтобы устранить уязвимость, описанную в CVE-2021-26414, необходимо установить обновления, выпущенные 14 сентября 2021 г. или более поздней версии, на клиентских и серверных компьютерах. Если вы не установили обновление от 14 июня 2022 г. или более поздней версии, необходимо также включить раздел реестра, описанный ниже в вашей среде для серверов. Мы рекомендуем завершить тестирование в своей среде и как можно скорее включить эти изменения защиты. Если во время тестирования вы обнаружите проблемы, необходимо обратиться к поставщику затронутого клиентского или серверного программного обеспечения для обновления или обходного решения до начала 2022 г.

Примечание Мы рекомендуем обновить устройства до последнего доступного обновления системы безопасности, чтобы воспользоваться расширенными средствами защиты от последних угроз безопасности.

Временная шкала

Обновление выпускаИзменение поведения
8 июня 2021 г.Усиление защиты изменений отключено по умолчанию, но с возможностью включить их с помощью раздела реестра.
14 июня 2022 г.Усиление защиты изменений включено по умолчанию, но с возможностью их отключения с помощью раздела реестра.
8 ноября 2022 г.Это обновление автоматически вызовет уровень проверки подлинности для всех неанимных запросов активации от клиентов DCOM RPC_C_AUTHN_LEVEL_PKT_INTEGRITY, если он ниже целостности пакетов. При этом изменении большинство клиентских приложений Windows DCOM автоматически будут работать с изменением защиты DCOM на стороне сервера без каких-либо изменений в клиентских приложениях DCOM.
14 марта 2023 г.Усиление защиты изменений включено по умолчанию без возможности их отключения. К этому моменту необходимо устранить все проблемы совместимости с усилением защиты изменений и приложений в вашей среде.

Параметр реестра для включения или отключения изменений защиты

На этапах временной шкалы, на которых можно включить или отключить изменения защиты для CVE-2021-26414, можно использовать следующий раздел реестра:

  • Путь: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
  • Имя значения: RequireIntegrityActivationAuthenticationLevel
  • Тип: dword
  • Value Data: default = 0x00000000 означает отключено. 0x00000001 включено. Если это значение не определено, по умолчанию оно будет включено.

Примечание Необходимо ввести данные значений в шестнадцатеричном формате. 

Важно! Необходимо перезапустить устройство после настройки этого раздела реестра, чтобы оно вступает в силу.

Примечание Включение раздела реестра выше приведет к принудительному Authentication-Level серверам DCOM RPC_C_AUTHN_LEVEL_PKT_INTEGRITY или более поздней версии .

Примечание Это значение реестра не существует по умолчанию; Необходимо создать его. Windows будет считывать его, если он существует, и не будет перезаписывать его.

Параметры реестра для повышение уровня проверки подлинности активации

Чтобы повысить уровень проверки подлинности активации, можно использовать следующий раздел реестра.

  • Путь: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
  • Имя значения: RaiseActivationAuthenticationLevel
  • Тип: dword
  • Данные значения: 1 означает повышение уровня проверки подлинности по умолчанию до RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.Два (2) означает повышение уровня проверки подлинности для всех неанимных запросов на активацию RPC_C_AUTHN_LEVEL_PKT_INTEGRITY, если он ниже уровня целостности пакетов. К ним относится явно заданный уровень проверки подлинности в функциях активации, таких как CoCreateInstanceEx. Если это значение не определено, по умолчанию используется значение 1 (до 8 ноября 2022 г.) и 2 (после 8 ноября 2022 г.).

Примечание Необходимо ввести данные значений в шестнадцатеричном формате. 

Важно! Необходимо перезапустить устройство после настройки этого раздела реестра, чтобы оно вступает в силу.

Примечание Это значение реестра не существует по умолчанию; Необходимо создать его. Windows будет считывать его, если он существует, и не будет перезаписывать его.

Новые события ошибок DCOM

Чтобы помочь определить приложения, у которых могут возникнуть проблемы совместимости после включения изменений защиты безопасности DCOM, мы добавили новые события ошибок DCOM в системный журнал. см. таблицы ниже. Система регистрирует эти события, если обнаружит, что клиентское приложение DCOM пытается активировать сервер DCOM с уровнем проверки подлинности, который меньше RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Вы можете выполнить трассировку на клиентском устройстве из журнала событий на стороне сервера и использовать журналы событий на стороне клиента для поиска приложения.

События сервера

Идентификатор событияСообщение
10036“Политика уровня проверки подлинности на стороне сервера не позволяет пользователю %1\%2 SID (%3) с адреса %4 активировать DCOM-сервер. Подведите уровень проверки подлинности активации по крайней мере RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клиентском приложении”.(%1 — домен, %2 — имя пользователя, %3 — идентификатор безопасности пользователя, %4 — IP-адрес клиента)

События клиента

Идентификатор событияСообщение
10037“Приложение %1 с pid %2 запрашивает активацию CLSID %3 на компьютере %4 с явно заданным уровнем проверки подлинности %5. Самый низкий уровень проверки подлинности активации, требуемый DCOM, — 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Чтобы повысить уровень проверки подлинности активации, обратитесь к поставщику приложения”.
10038“Приложение %1 с pid %2 запрашивает активацию CLSID %3 на компьютере %4 с уровнем проверки подлинности активации по умолчанию %5. Самый низкий уровень проверки подлинности активации, требуемый DCOM, — 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Чтобы повысить уровень проверки подлинности активации, обратитесь к поставщику приложения”.(%1 — путь к приложению, %2 — идентификатор приложения, %3 — CLSID класса COM, который приложение запрашивает активировать, %4 — имя компьютера, %5 — значение уровня проверки подлинности)

Доступность

Эти события ошибок доступны только для подмножества версий Windows. см. таблицу ниже.

Версия WindowsДоступно в эти даты или после них
Windows Server 202227 сентября 2021 г.KB5005619
Windows 10 версии 2004, Windows 10, версия 20H2, Windows 10, версия 21H11 сентября 2021 г.KB5005101
Windows 10 версии 190926 августа 2021 г.KB5005103
Windows Server 2019, Windows 10, версия 180926 августа 2021 г.KB5005102
Windows Server 2016, Windows 10 версии 160714 сентября 2021 г.KB5005573
Windows Server 2012 R2 и Windows 8.112 октября 2021 г.KB5006714
Windows 11 версии 22H230 сентября 2022 г.KB5017389