2月17日,微软详细披露了2021年6月分布式组件对象模型(DCOM)存在的安全问题。绕过(CVE-2021-26414)漏洞。微软今天发出提醒,下个月将在Win10、Win11和WindowsServer上默认启用DCOM增强功能。根据微软官方定制的时间表,DCOM加固改动将于2023年3月14日默认开启,用户无法关闭。微软官方介绍:DistributedComponentObjectModel(DCOM)RemotingProtocol是一种使用远程过程调用(RPC)来暴露应用程序对象的协议。DCOM用于网络设备的软件组件之间的通信。CVE-2021-26414需要对DCOM进行强化更改。因此,建议在启用强化更改的同时验证环境中使用DCOM或RPC的客户端或服务器应用程序是否按预期工作。第一阶段DCOM更新于2021年6月8日发布。本次更新默认禁用DCOM加固。它们可以通过修改注册表来启用,如下面的“用于启用或禁用强化更改的注册表设置”部分所述。DCOM更新的第二阶段将于2022年6月14日发布。这已将强化更改为默认启用,但保留了使用注册表项设置禁用更改的能力。DCOM更新的最后阶段将于2023年3月发布。它将启用DCOM强化并移除禁用它的能力。我们知道DCOM强化更改会导致您的环境中出现应用程序兼容性问题。2022年11月发布的最新安全更新包括以下可轻松管理此迁移的功能:新的DCOM错误事件-为了帮助识别在启用DCOM安全强化更改后可能存在兼容性问题的应用程序,我们添加了新的DCOM错误事件。有关发布时间表和支持平台的详细信息,请参见下文。所有非匿名激活请求的身份验证级别–为了帮助减少应用程序兼容性问题,我们自动将来自基于Windows的DCOM客户端的所有非匿名激活请求的身份验证级别提高到至少RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。通过此更改,大多数基于Windows的DCOM客户端请求将被自动接受,从而在服务器端启用DCOM强化更改,而无需对DCOM客户端进行任何进一步修改。虽然我们建议您安装最新的安全更新,但如果您的环境没有安装最新的安全更新,我们也希望为您提供更多控制。启用DCOM强化。如果您尚未安装2022年6月14日或之后的更新,您可以将所有DCOM服务器的RequireIntegrityActivationAuthenticationLevel注册表项设置为1。这将在您的环境中启用DCOM强化。提高身份验证级别。如果尚未安装2022年11月8日或更高版本的更新,则可以将所有基于Windows的DCOM客户端的RaiseActivationAuthenticationLevel注册表项设置为2。对于来自基于Windows的DCOM客户端的所有非匿名激活请求,这会将身份验证级别提高到RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。建议在环境中完成测试并尽快启用这些加固更改。如果在测试期间发现问题,则必须在发布2023年3月更新之前联系受影响的客户端或服务器软件供应商以获取更新或解决方法。注意强烈建议安装可用的最新安全更新。它们提供针对最新安全威胁的高级保护,以及我们为支持迁移而添加的功能。有关如何强化DCOM的详细信息和上下文,请参阅DCOM身份验证强化:您需要了解的内容。更新版本行为更改2021年6月8日默认情况下禁用强化更改,但可以使用注册表项启用它们。2022年6月14日默认启用强化更改,但可以使用注册表项禁用。2022年11月8日为了响应您的反馈,2022年11月8日的更新包括一个针对充当DCOM客户端的客户端(设备、应用程序或服务)的补丁。此补丁自动将所有非匿名激活请求转换为已提高到RPC_C_AUTHN_LEVEL_PKT_INTEGRITY的身份验证级别。如果您使用第三方WindowsDCOM客户端应用程序并依赖软件提供商来提高激活身份验证级别以支持DCOM强化更改,则此补丁会删除依赖。这允许在Windows操作系统级别自动提升激活身份验证级别。这可以防止启用DCOM强化更改的DCOM服务器拒绝激活请求。2023年3月14日默认启用强化更改,但无法禁用它们。此时,必须解决环境中强化更改和应用程序的任何兼容性问题。
