Microsoft使用2020年12月升级修补了新的win Kerberos漏洞CVE-2020-16996

　　Microsoft使用2020年12月升级修补了新的win Kerberos漏洞CVE-2020-16996

　　伴随2020年12月的升级，Microsoft再次测试使用分层办法来处理Active directory域控制器(dC)中的新Kerberos漏洞CVE-2020-16996。2020年12月8日发布的支持文章中对此进行了说明。

　　CVE-2020-16996漏洞

　　使用受保护的用户和基于资源的委派(RBCd)时，(新发现的)漏洞CVE-2020-16996或许会影响Active directory域控制器(Ad dC )。有关CVE-2020-16996漏洞的信息很少。Kerberos身份验证过程中的漏洞允许具有低特权的攻击者在这些环境的网络基础结构上发起远程代码攻击。Microsoft尚未观察到任何攻击，但指出利用的复杂性较低。

　　支持文章概述了缓解措施

　　在2020年12月8日补丁程序日，Microsoft已在各种win版本的安全升级中包含此漏洞的修复程序，但未明确说明(请参阅以下补丁日链接)。但是在2020年12月8日发布了支持帖KB4577252(为CVE-2020-16996管理RBCd /受保护用户的更改的部署)处理了该问题。Microsoft专门提供以下说明来关上漏洞并保护Active directory dC环境：

　　•通过安装2020年12月8日或更高版本的win升级，升级所有承载Active directory域控制器角色的设备。请注意，安装win update不能完全缓解此漏洞。你必须执行步骤2。

　　• 在所有Active directory域控制器上启用强制模式。从2021年2月9日的升级开始，可以在所有win域控制器上启用强制模式。

　　因此，关上CVE-2020-16996漏洞的补丁程序的初始部署阶段始于2020年12月8日发布的win升级。从2021年2月9日开始，所谓的实施阶段将由另一个win升级推出。 。这些和更高版本的win升级对Kerberos进行了更改。

　　Microsoft在支持文章KB4577252中提供了有关受影响的系统的管理员应怎么进行以及应考虑的事项的全面说明。请特别注意有关注册表升级和调整不一致的处境下或许出现的身份验证问题的说明。你们已经在2020年11月的升级中遇到了这种处境(请参阅链接列表，例如，带有Kerberos身份验证问题修复程序的win升级(11/19/2020))。