注意! Win10 / Win11 將于 3 月 14 日默認(rèn)啟用 DCOM 強(qiáng)化更改

發(fā)布時(shí)間：2023-02-17 16:04:26 作者：佚名

微軟今天發(fā)布提醒，表示將于下月在 Win10、Win11 和 Windows Server 上默認(rèn)啟用 DCOM 增強(qiáng)。根據(jù)微軟官方定制的時(shí)間表，將于 2023 年 3 月 14 日默認(rèn)啟用 DCOM 強(qiáng)化更改，用戶無(wú)法禁用

我們 2 月 17 日消息，微軟在 2021 年 6 月詳細(xì)披露了存在于分布式組件對(duì)象模型（DCOM）的安全功能繞過(guò)（CVE-2021-26414）漏洞。微軟今天發(fā)布提醒，表示將于下月在 Win10、Win11 和 Windows Server 上默認(rèn)啟用 DCOM 增強(qiáng)。

根據(jù)微軟官方定制的時(shí)間表，將于 2023 年 3 月 14 日默認(rèn)啟用 DCOM 強(qiáng)化更改，用戶無(wú)法禁用。

我們附微軟官方介紹：

分布式組件對(duì)象模型 (DCOM) 是一種遠(yuǎn)程協(xié)議，在遠(yuǎn)程過(guò)程調(diào)用 (RPC) 中用于公開(kāi)應(yīng)用程序?qū)ο蟆COM 主要用于網(wǎng)絡(luò)設(shè)備的軟件組件之間的通信。CVE-2021-26414 需要在 DCOM 中啟用強(qiáng)化更改。因此，使用 DCOM 或 RPC 的客戶端或服務(wù)器應(yīng)用程序需要驗(yàn)證是否按預(yù)期工作，需要同時(shí)啟用強(qiáng)化更改。

DCOM 更新的第一階段于 2021 年 6 月 8 日發(fā)布。在該更新中，默認(rèn)情況下禁用了 DCOM 強(qiáng)化?？梢酝ㄟ^(guò)修改注冊(cè)表來(lái)啟用它們，如下面的“注冊(cè)表設(shè)置以啟用或禁用強(qiáng)化更改”一節(jié)中所述。

DCOM 更新的第二階段于 2022 年 6 月 14 日發(fā)布。這已將強(qiáng)化更改為默認(rèn)啟用，但保留了使用注冊(cè)表項(xiàng)設(shè)置禁用更改的功能。DCOM 更新的最后階段將于 2023 年 3 月發(fā)布。它將使 DCOM 強(qiáng)化保持啟用狀態(tài)，并刪除禁用它的功能。

我們知道，DCOM 強(qiáng)化更改可能會(huì)導(dǎo)致環(huán)境中出現(xiàn)應(yīng)用兼容性問(wèn)題。2022 年 11 月發(fā)布的最新安全更新包括以下功能，可輕松地管理此遷移：

新的 DCOM 錯(cuò)誤事件 - 為了幫助識(shí)別在啟用 DCOM 安全強(qiáng)化更改后可能存在兼容性問(wèn)題的應(yīng)用程序，我們?cè)谙到y(tǒng)日志中添加了新的 DCOM 錯(cuò)誤事件。有關(guān)發(fā)布時(shí)間線和支持的平臺(tái)的詳細(xì)信息，請(qǐng)參閱下文。

所有非匿名激活請(qǐng)求的身份驗(yàn)證級(jí)別 – 為了幫助減少應(yīng)用兼容性問(wèn)題，我們自動(dòng)將來(lái)自基于 Windows 的 DCOM 客戶端的所有非匿名激活請(qǐng)求的身份驗(yàn)證級(jí)別提高到至少 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。通過(guò)此更改，大多數(shù)基于 Windows 的 DCOM 客戶端請(qǐng)求將自動(dòng)接受，在服務(wù)器端啟用了 DCOM 強(qiáng)化更改，而無(wú)需對(duì) DCOM 客戶端進(jìn)行任何進(jìn)一步修改。

雖然我們建議你安裝最新的安全更新，但如果環(huán)境中沒(méi)有安裝最新的安全更新，我們也希望為你提供更多的控制。

啟用 DCOM 強(qiáng)化。如果尚未安裝 2022 年 6 月 14 日或更高版本的更新，可以將所有 DCOM 服務(wù)器的 RequireIntegrityActivationAuthenticationLevel 注冊(cè)表項(xiàng)設(shè)置為 1。這將在你的環(huán)境中啟用 DCOM 強(qiáng)化。

提高身份驗(yàn)證級(jí)別。如果尚未安裝 2022 年 11 月 8 日或更高版本的更新，則可以為所有基于 Windows 的 DCOM 客戶端將 RaiseActivationAuthenticationLevel 注冊(cè)表項(xiàng)設(shè)置為 2。這會(huì)將來(lái)自基于 Windows 的 DCOM 客戶端的所有非匿名激活請(qǐng)求的身份驗(yàn)證級(jí)別提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。

建議在環(huán)境中完成測(cè)試，并盡快啟用這些強(qiáng)化更改。如果在測(cè)試過(guò)程中發(fā)現(xiàn)問(wèn)題，則必須在發(fā)布 2023 年 3 月更新之前聯(lián)系受影響的客戶端或服務(wù)器軟件供應(yīng)商以獲取更新或解決方法。

備注強(qiáng)烈建議安裝可用的最新安全更新。它們提供針對(duì)最新安全威脅的高級(jí)保護(hù)，以及我們?yōu)橹С诌w移而添加的功能。有關(guān)如何強(qiáng)化 DCOM 的詳細(xì)信息和上下文，請(qǐng)參閱 DCOM 身份驗(yàn)證強(qiáng)化：需要了解的內(nèi)容。

更新版本	行為更改
2021 年 6 月 8 日	默認(rèn)情況下，強(qiáng)化更改已禁用，但能夠使用注冊(cè)表項(xiàng)啟用它們。
2022 年 6 月 14 日	默認(rèn)啟用的強(qiáng)化更改，但能夠使用注冊(cè)表項(xiàng)禁用更改。
2022 年 11 月 8 日	為了響應(yīng)你的反饋，2022 年 11 月 8 日更新包括充當(dāng) DCOM 客戶端) 修補(bǔ)程序的客戶端 (設(shè)備、應(yīng)用程序或服務(wù)。此修補(bǔ)程序會(huì)自動(dòng)將所有非匿名激活請(qǐng)求的身份驗(yàn)證級(jí)別提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。如果使用第三方 Windows DCOM 客戶端應(yīng)用程序，并且依賴于軟件提供程序來(lái)提高激活身份驗(yàn)證級(jí)別以支持 DCOM 強(qiáng)化更改，則此修補(bǔ)程序會(huì)刪除依賴項(xiàng)。這允許在 Windows OS 級(jí)別自動(dòng)提高激活身份驗(yàn)證級(jí)別。這可以防止啟用 DCOM 強(qiáng)化更改的 DCOM 服務(wù)器拒絕激活請(qǐng)求。
2023 年 3 月 14 日	默認(rèn)啟用的強(qiáng)化更改，但無(wú)法禁用它們。此時(shí)，必須解決環(huán)境中強(qiáng)化更改和應(yīng)用程序的任何兼容性問(wèn)題。