,微软在 2021 年 6 月详细披露了存在于分布式组件对象模型的安全功能绕过(CVE-2021-26414)漏洞。微软今天发布提醒,表示将于下月在 Win10、Win11 和 Windows Server 上默认启用 DCOM 增强。
根据微软官方定制的时间表,将于 2023 年 3 月 14 日默认启用 DCOM 强化更改,用户无法禁用。
IT之家附微软官方介绍:
分布式组件对象模型 是一种远程协议,在远程过程调用 (RPC) 中用于公开应用程序对象。DCOM 主要用于网络设备的软件组件之间的通信。CVE-2021-26414 需要在 DCOM 中启用强化更改。因此,使用 DCOM 或 RPC 的客户端或服务器应用程序需要验证是否按预期工作,需要同时启用强化更改。
DCOM 更新的第一阶段于 2021 年 6 月 8 日发布。在该更新中,默认情况下禁用了 DCOM 强化。可以通过修改注册表来启用它们,如下面的“注册表设置以启用或禁用强化更改”一节中所述。
DCOM 更新的第二阶段于 2022 年 6 月 14 日发布。这已将强化更改为默认启用,但保留了使用注册表项设置禁用更改的功能。DCOM 更新的最后阶段将于 2023 年 3 月发布。它将使 DCOM 强化保持启用状态,并删除禁用它的功能。
我们知道,DCOM 强化更改可能会导致环境中出现应用兼容性问题。2022 年 11 月发布的最新安全更新包括以下功能,可轻松地管理此迁移:
新的 DCOM 错误事件 - 为了帮助识别在启用 DCOM 安全强化更改后可能存在兼容性问题的应用程序,我们在系统日志中添加了新的 DCOM 错误事件。有关发布时间线和支持的平台的详细信息,请参阅下文。
所有非匿名激活请求的身份验证级别 – 为了帮助减少应用兼容性问题,我们自动将来自基于 Windows 的 DCOM 客户端的所有非匿名激活请求的身份验证级别提高到至少 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。通过此更改,大多数基于 Windows 的 DCOM 客户端请求将自动接受,在服务器端启用了 DCOM 强化更改,而无需对 DCOM 客户端进行任何进一步修改。
虽然我们建议你安装最新的安全更新,但如果环境中没有安装最新的安全更新,我们也希望为你提供更多的控制。
启用 DCOM 强化。如果尚未安装 2022 年 6 月 14 日或更高版本的更新,可以将所有 DCOM 服务器的 RequireIntegrityActivationAuthenticationLevel 注册表项设置为 1。这将在你的环境中启用 DCOM 强化。
提高身份验证级别。如果尚未安装 2022 年 11 月 8 日或更高版本的更新,则可以为所有基于 Windows 的 DCOM 客户端将 RaiseActivationAuthenticationLevel 注册表项设置为 2。这会将来自基于 Windows 的 DCOM 客户端的所有非匿名激活请求的身份验证级别提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。
建议在环境中完成测试,并尽快启用这些强化更改。如果在测试过程中发现问题,则必须在发布 2023 年 3 月更新之前联系受影响的客户端或服务器软件供应商以获取更新或解决方法。
备注 强烈建议安装可用的最新安全更新。它们提供针对最新安全威胁的高级保护,以及我们为支持迁移而添加的功能。有关如何强化 DCOM 的详细信息和上下文,请参阅 DCOM 身份验证强化:需要了解的内容。
更新版本
行为更改
2021 年 6 月 8 日
默认情况下,强化更改已禁用,但能够使用注册表项启用它们。
2022 年 6 月 14 日
默认启用的强化更改,但能够使用注册表项禁用更改。
2022 年 11 月 8 日
为了响应你的反馈,2022 年 11 月 8 日更新包括充当 DCOM 客户端) 修补程序的客户端 (设备、应用程序或服务。此修补程序会自动将所有非匿名激活请求的身份验证级别提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。如果使用第三方 Windows DCOM 客户端应用程序,并且依赖于软件提供程序来提高激活身份验证级别以支持 DCOM 强化更改,则此修补程序会删除依赖项。这允许在 Windows OS 级别自动提高激活身份验证级别。这可以防止启用 DCOM 强化更改的 DCOM 服务器拒绝激活请求。
2023 年 3 月 14 日
默认启用的强化更改,但无法禁用它们。此时,必须解决环境中强化更改和应用程序的任何兼容性问题。