Wijzigingslogboek
|
Wijziging 1: 19 juni 2023:
|
In dit artikel
Samenvatting
De Windows-updates die op of na 8 november 2022 zijn uitgebracht, hebben betrekking op beveiligingsoverweging en uitbreiding van bevoegdheden met verificatie-onderhandeling met behulp van zwakke RC4-HMAC-onderhandeling.
Met deze update wordt AES ingesteld als het standaardversleutelingstype voor sessiesleutels voor accounts die nog niet zijn gemarkeerd met een standaardversleutelingstype.
Installeer Windows-updates die zijn uitgebracht op of na 8 november 2022 op alle apparaten, inclusief domeincontrollers, om uw omgeving te beveiligen. Zie Wijziging 1.
Zie CVE-2022-37966 voor meer informatie over deze beveiligingsproblemen.
Expliciet instellen van sessiesleutelversleutelingstypen detecteren
Mogelijk hebt u expliciet gedefinieerde versleutelingstypen voor uw gebruikersaccounts die kwetsbaar zijn voor CVE-2022-37966. Zoek naar accounts waarvoor DES/RC4 expliciet is ingeschakeld, maar niet AES met behulp van de volgende Active Directory-query:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Registersleutelinstellingen
Na de installatie van de Windows-updates die zijn gedateerd op of na 8 november 2022, is de volgende registersleutel beschikbaar voor het Kerberos-protocol:
DefaultDomainSupportedEncTypes
|
Registersleutel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Waarde |
DefaultDomainSupportedEncTypes |
|
Gegevenstype |
REG_DWORD |
|
Gegevenswaarde |
0x27 (standaard) |
|
Opnieuw opstarten vereist? |
Nee |
Opmerking Als u het standaardtype Ondersteunde versleuteling voor een Active Directory-gebruiker of -computer moet wijzigen, voegt u de registersleutel handmatig toe en configureert u deze om het nieuwe ondersteunde versleutelingstype in te stellen. Met deze update wordt de registersleutel niet automatisch toegevoegd.
Windows-domeincontrollers gebruiken deze waarde om de ondersteunde versleutelingstypen te bepalen voor accounts in Active Directory waarvan de waarde msds-SupportedEncryptionType leeg of niet is ingesteld. Een computer waarop een ondersteunde versie van het Windows-besturingssysteem wordt uitgevoerd, stelt automatisch het msds-SupportedEncryptionTypes-account in Active Directory in. Dit is gebaseerd op de geconfigureerde waarde van versleutelingstypen die het Kerberos-protocol mag gebruiken. Zie Netwerkbeveiliging: versleutelingstypen configureren die zijn toegestaan voor Kerberos voor meer informatie.
Voor gebruikersaccounts, group managed service-accounts en andere accounts in Active Directory wordt de waarde msds-SupportedEncryptionTypes niet automatisch ingesteld.
Als u ondersteunde versleutelingstypen wilt vinden die u handmatig kunt instellen, raadpleegt u Ondersteunde versleutelingstypen bitvlagken. Zie wat u als eerste moet doen om de omgeving voor te bereiden en kerberos-verificatieproblemen te voorkomen voor meer informatie.
De standaardwaarde 0x27 (DES, RC4, AES-sessiesleutels) is gekozen als de minimale wijziging die nodig is voor deze beveiligingsupdate. We raden klanten aan om de waarde in te stellen op 0x3C voor een betere beveiliging, omdat deze waarde zowel met AES-versleutelde tickets als AES-sessiesleutels toestaat. Als klanten onze richtlijnen hebben gevolgd om over te stappen op een omgeving met alleen AES waarin RC4 niet wordt gebruikt voor het Kerberos-protocol, raden we klanten aan de waarde in te stellen op 0x38. Zie Wijziging 1.
Windows-gebeurtenissen met betrekking tot CVE-2022-37966
Het Kerberos Key Distribution Center heeft geen sterke sleutels voor account
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Fout |
|
Gebeurtenisbron |
Kdcsvc |
|
Gebeurtenis-id |
42 |
|
Gebeurtenistekst |
Het Kerberos Key Distribution Center heeft geen sterke sleutels voor account: accountname. U moet het wachtwoord van dit account bijwerken om het gebruik van onveilige cryptografie te voorkomen. Zie https://go.microsoft.com/fwlink/?linkid=2210019 voor meer informatie. |
Als u deze fout vindt, moet u waarschijnlijk uw krbtgt-wachtwoord opnieuw instellen voordat u KrbtgtFullPacSingature = 3 instelt of Windows Updates installeert die is uitgebracht op of na 11 juli 2023. De update die programmatisch de afdwingingsmodus inschakelt voor CVE-2022-37967 wordt beschreven in het volgende artikel in de Microsoft Knowledge Base:
KB5020805: Kerberos-protocolwijzigingen beheren met betrekking tot CVE-2022-37967
Zie het onderwerpNew-KrbtgtKeys.ps1 op de GitHub-website voor meer informatie over hoe u dit doet.
Veelgestelde vragen (FAQ) en bekende problemen
Accounts die zijn gemarkeerd voor expliciet RC4-gebruik zijn kwetsbaar. Bovendien kunnen omgevingen die geen AES-sessiesleutels hebben binnen het krbgt-account kwetsbaar zijn. Om dit probleem te verhelpen, volgt u de richtlijnen voor het identificeren van beveiligingsproblemen en het gebruik van de sectie Registersleutelinstelling om expliciet ingestelde standaardinstellingen voor versleuteling bij te werken.
U moet controleren of al uw apparaten een gemeenschappelijk Kerberos-versleutelingstype hebben. Zie De selectie van ondersteunde Kerberos-versleutelingstypen ontsleutelen voor meer informatie over Kerberos-versleutelingstypen.
Omgevingen zonder een gemeenschappelijk Kerberos-versleutelingstype kunnen eerder functioneel zijn geweest vanwege het automatisch toevoegen van RC4 of door de toevoeging van AES, als RC4 is uitgeschakeld via groepsbeleid door domeincontrollers. Dit gedrag is gewijzigd met de updates die zijn uitgebracht op of na 8 november 2022 en volgt nu strikt wat is ingesteld in de registersleutels, msds-SupportedEncryptionTypes en DefaultDomainSupportedEncTypes.
Als voor het account msds-SupportedEncryptionTypes niet is ingesteld, of als het is ingesteld op 0, gaan domeincontrollers uit van een standaardwaarde van 0x27 (39) of gebruikt de domeincontroller de instelling in de registersleutel DefaultDomainSupportedEncTypes.
Als voor het account msds-SupportedEncryptionTypes is ingesteld, wordt deze instelling gehonoreerd en wordt mogelijk een fout weergegeven om een algemeen Kerberos-versleutelingstype te configureren, gemaskeerd door het vorige gedrag van het automatisch toevoegen van RC4 of AES, wat niet langer het gedrag is na de installatie van updates die zijn uitgebracht op of na 8 november 2022.
Zie de vorige vraag voor meer informatie waarom uw apparaten mogelijk geen gemeenschappelijk Kerberos-versleutelingstype hebben na de installatie van updates die zijn uitgebracht op of na 8 november 2022.
Als u al updates hebt geïnstalleerd die zijn uitgebracht op of na 8 november 2022, kunt u apparaten detecteren die geen gemeenschappelijk Kerberos-versleutelingstype hebben door te zoeken in het gebeurtenislogboek voor Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, waarin niet-aaneengesloten versleutelingstypen tussen Kerberos-clients en externe servers of services worden geïdentificeerd.
Installatie van updates die zijn uitgebracht op of na 8 november 2022 op clients of niet-domeincontrollerfunctieservers, mag geen invloed hebben op Kerberos-verificatie in uw omgeving.
Als u dit bekende probleem wilt oplossen, opent u een opdrachtpromptvenster als beheerder en gebruikt u tijdelijk de volgende opdracht om de registersleutel KrbtgtFullPacSignature in te stellen op 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Opmerking Zodra dit bekende probleem is opgelost, moet u KrbtgtFullPacSignature instellen op een hogere instelling, afhankelijk van wat uw omgeving toestaat. We raden u aan de afdwingingsmodus in te schakelen zodra uw omgeving gereed is.
Volgende stappenWe werken aan een oplossing en komen met een update in een toekomstige release.
Na de installatie van updates die zijn uitgebracht op of na 8 november 2022 op uw domeincontrollers, moeten alle apparaten AES-ticketondertekening ondersteunen, indien vereist om te voldoen aan de beveiligingsbeveiliging die is vereist voor CVE-2022-37967.
Volgende stappen Als u al de meest recente software en firmware voor uw niet-Windows-apparaten gebruikt en hebt gecontroleerd of er een algemeen versleutelingstype beschikbaar is tussen uw Windows-domeincontrollers en uw niet-Windows-apparaten, moet u contact opnemen met de fabrikant van uw apparaat (OEM) voor hulp of de apparaten vervangen door apparaten die compatibel zijn.
BELANGRIJK We raden u af om een tijdelijke oplossing te gebruiken om niet-compatibele apparaten te laten verifiëren, omdat dit uw omgeving kwetsbaar kan maken.
Niet-ondersteunde versies van Windows omvatten Windows XP, Windows Server 2003, Windows Server 2008 SP2 en Windows Server 2008 R2 SP1 zijn alleen toegankelijk voor bijgewerkte Windows-apparaten als u een ESU-licentie hebt. Als u een ESU-licentie hebt, moet u updates installeren die zijn uitgebracht op of na 8 november 2022 en controleren of uw configuratie een gemeenschappelijk versleutelingstype heeft dat beschikbaar is tussen alle apparaten.
Volgende stappen Installeer updates als deze beschikbaar zijn voor uw versie van Windows en u beschikt over de toepasselijke ESU-licentie. Als er geen updates beschikbaar zijn, moet u een upgrade uitvoeren naar een ondersteunde versie van Windows of een toepassing of service verplaatsen naar een compatibel apparaat.
BELANGRIJK We raden u af om een tijdelijke oplossing te gebruiken om niet-compatibele apparaten te laten verifiëren, omdat dit uw omgeving kwetsbaar kan maken.
Dit bekende probleem is opgelost in out-of-band-updates die zijn uitgebracht op 17 november 2022 en 18 november 2022 voor installatie op alle domeincontrollers in uw omgeving. U hoeft geen updates te installeren of wijzigingen aan te brengen op andere servers of clientapparaten in uw omgeving om dit probleem op te lossen. Als u tijdelijke oplossingen of oplossingen voor dit probleem hebt gebruikt, zijn deze niet meer nodig en wordt u aangeraden deze te verwijderen.
Als u het zelfstandige pakket voor deze out-of-band-updates wilt downloaden, zoekt u het KB-nummer in de Microsoft Update-catalogus. U kunt deze updates handmatig importeren in Windows Server Update Services (WSUS) en Microsoft Endpoint Configuration Manager. Zie WSUS en de catalogussite voor WSUS-instructies. Zie Updates importeren uit de Microsoft Update-catalogus voor instructies voor Configuratiebeheer.
Opmerking De volgende updates zijn niet beschikbaar vanuit Windows Update en worden niet automatisch geïnstalleerd.
Cumulatieve updates:
Opmerking U hoeft geen eerdere updates toe te passen voordat u deze cumulatieve updates installeert. Als u al updates hebt geïnstalleerd die zijn uitgebracht op 8 november 2022, hoeft u de betrokken updates niet te verwijderen voordat u latere updates installeert, inclusief de hierboven genoemde updates.
Zelfstandige Updates:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (van 18 november 2022)
-
Windows Server 2008 SP2: KB5021657
Opmerkingen
-
Als u alleen beveiligingsupdates gebruikt voor deze versies van Windows Server, hoeft u deze zelfstandige updates alleen te installeren voor de maand november 2022. Alleen beveiligingsupdates zijn niet cumulatief en u moet ook alle eerdere beveiligingsupdates installeren om volledig up-to-date te zijn. Maandelijkse updatepakketten zijn cumulatief en bevatten beveiligings- en kwaliteitsupdates.
-
Als u maandelijkse updatepakketten gebruikt, moet u zowel de hierboven vermelde zelfstandige updates installeren om dit probleem op te lossen als de maandelijkse rollups van 8 november 2022 installeren om de kwaliteitsupdates voor november 2022 te ontvangen. Als u al updates hebt geïnstalleerd die zijn uitgebracht op 8 november 2022, hoeft u de betrokken updates niet te verwijderen voordat u latere updates installeert, inclusief de hierboven genoemde updates.
Als u de configuratie van uw omgeving hebt gecontroleerd en u nog steeds problemen ondervindt met een niet-Microsoft-implementatie van Kerberos, hebt u updates of ondersteuning nodig van de ontwikkelaar of fabrikant van de app of het apparaat.
Dit bekende probleem kan worden verholpen door een van de volgende handelingen uit te voeren:
-
Stel msds-SupportedEncryptionTypes in met bitwise of stel deze in op de huidige standaard 0x27 om de huidige waarde te behouden. Bijvoorbeeld:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Stel msds-SupportEncryptionTypes in op 0 om domeincontrollers de standaardwaarde van 0x27 te laten gebruiken.
Volgende stappenWe werken aan een oplossing en komen met een update in een toekomstige release.
Woordenlijst
Advanced Encryption Standard (AES) is een blokcodering die de Data Encryption Standard (DES) vervangt. AES kan worden gebruikt om elektronische gegevens te beveiligen. Het AES-algoritme kan worden gebruikt voor het versleutelen (versleutelen) en ontsleutelen (ontcijferen) van gegevens. Versleuteling converteert gegevens naar een niet-begrijpelijke vorm die coderingstekst wordt genoemd; als u de coderingstekst ontsleutelt, worden de gegevens weer geconverteerd naar de oorspronkelijke vorm, ook wel tekst zonder opmaak genoemd. AES wordt gebruikt in cryptografie met symmetrische sleutels, wat betekent dat dezelfde sleutel wordt gebruikt voor de versleutelings- en ontsleutelingsbewerkingen. Het is ook een blokcodering, wat betekent dat het werkt op blokken met vaste grootte van plaintext en coderingstekst, en vereist dat de grootte van de tekst zonder opmaak en de coderingstekst een exact veelvoud van deze blokgrootte is. AES wordt ook wel het Rijndael symmetrische versleutelingsalgoritmen [FIPS197] genoemd.
Kerberos is een verificatieprotocol voor computernetwerk dat werkt op basis van 'tickets' zodat knooppunten die via een netwerk communiceren, hun identiteit aan elkaar kunnen bewijzen op een veilige manier.
De Kerberos-service die de verificatie- en tickettoekenningsservices implementeert die zijn opgegeven in het Kerberos-protocol. De service wordt uitgevoerd op computers die zijn geselecteerd door de beheerder van het realm of domein; het is niet aanwezig op elke computer in het netwerk. Het moet toegang hebben tot een accountdatabase voor de realm die wordt gebruikt. KPC's zijn geïntegreerd in de domeincontrollerrol. Het is een netwerkservice die tickets aan clients levert voor gebruik bij het verifiëren van services.
RC4-HMAC (RC4) is een symmetrisch versleutelingsalgoritmen met variabele sleutellengte. Zie [SCHNEIER] sectie 17.1 voor meer informatie.
Een relatief korte symmetrische sleutel (een cryptografische sleutel die door de client en de server wordt onderhandeld op basis van een gedeeld geheim). De levensduur van een sessiesleutel is afhankelijk van de sessie waaraan deze is gekoppeld. Een sessiesleutel moet sterk genoeg zijn om bestand te zijn tegen cryptanalyse voor de levensduur van de sessie.
Een speciaal type ticket dat kan worden gebruikt om andere tickets te verkrijgen. Het Ticket-granting Ticket (TGT) wordt verkregen na de eerste verificatie in de Authentication Service (AS) uitwisseling; daarna hoeven gebruikers hun referenties niet te presenteren, maar kunnen ze de TGT gebruiken om volgende tickets te verkrijgen.
