Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: Configuration Manager (current branch)
Program Microsoft Endpoint Configuration Manager używa zdalnego protokołu DCOM (Distributed Component Object Model) w wielu częściach funkcjonalności. W przypadku aktualizacji zabezpieczeń z czerwca 2022 r. dla systemu Windows zmiany zabezpieczeń w modelu DCOM są domyślnie włączone. Ten artykuł zawiera rozwiązania problemów, które mogą wystąpić w programie Configuration Manager po zainstalowaniu aktualizacji zabezpieczeń z czerwca 2022 r. dla systemu Windows.
Symptomy
Po zainstalowaniu aktualizacji zabezpieczeń z czerwca 2022 r. dla systemu Windows lub nowszego administrator programu Configuration Manager napotka jeden z następujących problemów:
Konsola programu Configuration Manager nie może uzyskać dostępu do dostawcy programu SMS zdalnie na dowolnym koncie użytkownika. Jednak w ramach tego samego poświadczenia połączenie lokalne z dostawcą programu SMS zakończy się pomyślnie.
Gdy administrator programu Configuration Manager łączy się zdalnie z komputerami klienckimi, ten sam problem (w ramach dowolnego konta użytkownika połączenie zdalne kończy się niepowodzeniem, ale połączenie lokalne kończy się pomyślnie) występuje w przypadku narzędzi programu Configuration Manager, takich jak Centrum pomocy technicznej lub Szpieg zasad.
Nie można dystrybuować zawartości do zdalnego punktu dystrybucji.
Kody błędów rejestrowane w odpowiednich plikach dziennika lub aplikacjach klienckich mogą wyglądać podobnie do następujących:
| Kod błędu | Komunikat o błędzie |
|---|---|
| 0x80070005 | Odmowa dostępu. |
| 0x800706ba | Serwer RPC jest niedostępny. |
Na przykład gdy administrator próbuje otworzyć konsolę zdalnie, plik SmsAdminUI.log wyświetla następujący komunikat o błędzie:
Niewystarczające uprawnienia do nawiązania połączenia, błąd: "Odmowa dostępu. (Wyjątek od HRESULT: 0x80070005 (E_ACCESSDENIED)' System.UnauthorizedAccessException
Odmowa dostępu. (Wyjątek od HRESULT: 0x80070005 (E_ACCESSDENIED))
w: System.Management.ThreadDispatch.Start()
w: System.ManagementScope.Initialize()
w: System.Management.ManagementObjectSearcher.Initialize()
w: System.Management.ManagementObjectSearcher.Get()
w: Microsoft.ConfigurationManagement.ManagementProvider.WqlQueryEngine.WqlConnectionManager.Connect(String configMgrServerPath)
w: Microsoft.ConfigurationManagement.AdminConsole.SmsSiteConnectionNode.GetConnectionManagerInstance(String connectionManagerInstance)
Rozwiązanie
Aby rozwiązać te problemy, zainstaluj najnowszą aktualizację zbiorczą dla systemu Windows na obu komputerach, które inicjują połączenie (konsolę zdalną lub serwer lokacji) i odbierz je (dostawcę programu SMS, punkt dystrybucji lub klienta zdalnego). Oprócz zwiększenia zabezpieczeń instalacja aktualizacji może zapewnić ten sam poziom możliwości wzmacniania i rejestrowania modelu DCOM.
Najnowsze wersje programu Configuration Manager wprowadzają zmiany zabezpieczeń, dlatego zalecamy uaktualnienie do programu Configuration Manager w wersji 2203 lub nowszej.
Zmiany wzmacniania zabezpieczeń modelu DCOM
W 2021 r. wykryto lukę w zabezpieczeniach obejścia funkcji zabezpieczeń systemu Windows DCOM Server i wydano je w cve-2021-26414. Później firma Microsoft wydała aktualizacje zabezpieczeń, które poprawiły wzmocnienie zabezpieczeń protokołu DCOM. Jednak niektóre aplikacje wymagają zmiany kodu, aby były zgodne z nowym poziomem zabezpieczeń. W związku z tym firma Microsoft rozwiązała tę lukę w zabezpieczeniach z podejściem etapowym, które można skonfigurować za pomocą RequireIntegrityActivationAuthenticationLevel klucza rejestru. Zobacz następującą oś czasu:
| Wydanie aktualizacji | Zmiana zachowania |
|---|---|
| 8 czerwca 2021 r. | Wzmocnienie zabezpieczeń zmian jest domyślnie wyłączone, ale z możliwością włączenia ich przy użyciu klucza rejestru. |
| wtorek, 14 czerwca 2022 r. | Wzmacnianie zabezpieczeń zmian jest domyślnie włączone, ale z możliwością ich wyłączenia przy użyciu klucza rejestru. |
| 14 marca 2023 | Zmiana zabezpieczeń jest domyślnie włączona bez możliwości ich wyłączania. Do tego czasu należy rozwiązać wszelkie problemy ze zgodnością dotyczące wzmacniania zabezpieczeń i aplikacji w środowisku. |
Aby uzyskać więcej informacji, zobacz KB5004442 — Zarządzanie zmianami w obejściu funkcji zabezpieczeń systemu Windows DCOM Server (CVE-2021-26414).
Weryfikowanie problemu z wzmacnianiem zabezpieczeń modelu DCOM
Aby sprawdzić problem z wzmacnianiem zabezpieczeń dcOM, sprawdź następujące identyfikatory zdarzeń w dziennikach zdarzeń systemu na serwerach i komputerach klienckich. Aby uzyskać więcej informacji, zobacz sekcję "Nowe zdarzenia błędów DCOM" w KB5004442.
Aby rejestrować te zdarzenia, zainstaluj co najmniej aktualizację zbiorczą systemu Windows z października 2021 r. Następujące zdarzenia skorelowane czasowo powinny zawierać informacje o aplikacjach programu Configuration Manager i nazwach użytkowników, w których działają:
Zdarzenie po stronie serwera
Identyfikator zdarzenia Komunikat 10036 Zasady poziomu uwierzytelniania po stronie serwera nie zezwalają użytkownikowi %1\%2 identyfikatora SID (%3) z adresu %4 na aktywowanie serwera DCOM. Podnieś poziom uwierzytelniania aktywacji co najmniej do RPC_C_AUTHN_LEVEL_PKT_INTEGRITY w aplikacji klienckiej.
(%1 — domena, %2 — nazwa użytkownika, %3 — identyfikator SID użytkownika, %4 — adres IP klienta)Zdarzenia po stronie klienta
Identyfikator zdarzenia Komunikat 10037 Aplikacja %1 z identyfikatorem PID %2 żąda aktywowania identyfikatora CLSID %3 na komputerze %4 z jawnie ustawionym poziomem uwierzytelniania na %5. Najniższy poziom uwierzytelniania aktywacji wymagany przez model DCOM to 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aby podnieść poziom uwierzytelniania aktywacji, skontaktuj się z dostawcą aplikacji. 10038 Aplikacja %1 z identyfikatorem PID %2 żąda aktywowania identyfikatora CLSID %3 na komputerze %4 z domyślnym poziomem uwierzytelniania aktywacji na %5. Najniższy poziom uwierzytelniania aktywacji wymagany przez model DCOM to 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Aby podnieść poziom uwierzytelniania aktywacji, skontaktuj się z dostawcą aplikacji.
(%1 — ścieżka aplikacji, %2 — identyfikator PID aplikacji, %3 — IDENTYFIKATOR CLSID klasy COM, którego aplikacja żąda aktywacji, %4 — nazwa komputera, %5 — wartość poziomu uwierzytelniania)
Jeśli chcesz tymczasowo wyłączyć wzmocnienie zabezpieczeń modelu DCOM, ustaw wartość RequireIntegrityActivationAuthenticationLevel klucza rejestru na 0x00000000:
- Ścieżka:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat - Nazwa wartości:
RequireIntegrityActivationAuthenticationLevel - Typ: dword
- Dane wartości:
0x00000000
Aby włączyć wzmacnianie zabezpieczeń dcOM, ustaw wartość rejestru na 0x00000001. Jeśli ten klucz rejestru nie jest zdefiniowany, zostanie on domyślnie włączony.
Uwaga 16.
Ten klucz rejestru zostanie zignorowany od 14 marca 2023 r. Uaktualnij systemy operacyjne przed tą datą.
Jeśli problem będzie się powtarzać po wykonaniu powyższych kroków, skontaktuj się z pomoc techniczna firmy Microsoft.