微软发布dcom强化更新

微软在2021年6月详细披露了存在于分布式组件对象模型（DCOM）的安全功能绕过（CVE-2021-26414）漏洞。微软今天发布提醒，表示将于下月在 Win10、Win11 和WindowsServer上默认启用DCOM增强。

根据微软官方定制的时间表，将于2023年3月14日默认启用DCOM强化更改，用户无法禁用。

附微软官方介绍：

分布式组件对象模型(DCOM)远程协议是一种协议，用于使用远程过程调用(RPC)公开应用程序对象。DCOM用于网络设备的软件组件之间的通信。CVE-2021-26414需要DCOM中的强化更改。因此，建议验证环境中使用DCOM或RPC的客户端或服务器应用程序是否按预期工作，同时启用强化更改。

DCOM更新的第一阶段于2021年6月8日发布。在该更新中，默认情况下禁用了DCOM强化。可以通过修改注册表来启用它们，如下面的“注册表设置以启用或禁用强化更改”一节中所述。DCOM更新的第二阶段于2022年6月14日发布。这已将强化更改为默认启用，但保留了使用注册表项设置禁用更改的功能。DCOM更新的最后阶段将于2023年3月发布。它将使DCOM强化保持启用状态，并删除禁用它的功能。

我们知道，DCOM强化更改可能会导致环境中出现应用兼容性问题。2022年11月发布的最新安全更新包括以下功能，可轻松地管理此迁移：

新的DCOM错误事件 -为了帮助识别在启用DCOM安全强化更改后可能存在兼容性问题的应用程序，我们在系统日志中添加了新的DCOM错误事件。有关发布时间线和支持的平台的详细信息，请参阅下文。

所有非匿名激活请求的身份验证级别–为了帮助减少应用兼容性问题，我们自动将来自基于Windows的DCOM客户端的所有非匿名激活请求的身份验证级别提高到至少 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。通过此更改，大多数基于Windows的DCOM客户端请求将自动接受，在服务器端启用了DCOM强化更改，而无需对DCOM客户端进行任何进一步修改。

虽然我们建议你安装最新的安全更新，但如果环境中没有安装最新的安全更新，我们也希望为你提供更多的控制。

启用DCOM强化。如果尚未安装2022年6月14日或更高版本的更新，可以将所有DCOM服务器的 RequireIntegrityActivationAuthenticationLevel 注册表项设置为1。这将在你的环境中启用DCOM强化。

提高身份验证级别。如果尚未安装2022年11月8日或更高版本的更新，则可以为所有基于Windows的DCOM客户端将 RaiseActivationAuthenticationLevel 注册表项设置为2。这会将来自基于Windows的DCOM客户端的所有非匿名激活请求的身份验证级别提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。

建议在环境中完成测试，并尽快启用这些强化更改。如果在测试过程中发现问题，则必须在发布2023年3月更新之前联系受影响的客户端或服务器软件供应商以获取更新或解决方法。

备注强烈建议安装可用的最新安全更新。它们提供针对最新安全威胁的高级保护，以及我们为支持迁移而添加的功能。有关如何强化DCOM的详细信息和上下文，请参阅 DCOM身份验证强化：需要了解的内容。

更新版本

行为更改

2021年6月8日

默认情况下，强化更改已禁用，但能够使用注册表项启用它们。

2022年6月14日

默认启用的强化更改，但能够使用注册表项禁用更改。

2022年11月8日

为了响应你的反馈，2022年11月8日更新包括充当DCOM客户端)修补程序的客户端(设备、应用程序或服务。此修补程序会自动将所有非匿名激活请求的身份验证级别提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。如果使用第三方WindowsDCOM客户端应用程序，并且依赖于软件提供程序来提高激活身份验证级别以支持DCOM强化更改，则此修补程序会删除依赖项。这允许在WindowsOS级别自动提高激活身份验证级别。这可以防止启用DCOM强化更改的DCOM服务器拒绝激活请求。

2023年3月14日

默认启用的强化更改，但无法禁用它们。此时，必须解决环境中强化更改和应用程序的任何兼容性问题。