الملخص
تضيف تحديثات Windows 11 يناير 2022 واللاحقة Windows حماية CVE-2022-21913.
بعد تثبيت تحديثات Windows أو تحديثات Windows في 11 يناير 2022، سيتم تعيين التشفير المتقدم القياسي (AES) كطريقة التشفير المفضلة على عملاء Windows عند استخدام بروتوكول هيئة الأمان المحلي القديم (نهج المجال) لعمليات كلمة مرور كائن المجال الموثوق بها التي يتم إرسالها عبر شبكة. ينطبق هذا الأمر فقط إذا كان تشفير AES معتمدا من قبل الخادم. إذا لم يكن تشفير AES معتمدا من قبل الخادم، سيتيح النظام العودة إلى تشفير RC4 القديم.
التغييرات في CVE-2022-21913 خاصة ببروتوكول MS-LSAD. وهي مستقلة عن البروتوكولات الأخرى. يستخدم MS-LSAD كتلة رسائل الخادم (SMB) عبر استدعاء إجراء عن بعد
(RPC) والأنابيب المسماة. على الرغم من أن SMB يدعم أيضا التشفير، إلا أنه لا يتم تمكينه بشكل افتراضي. بشكل افتراضي، يتم تمكين التغييرات في CVE-2022-21913 وتوفير أمان إضافي في طبقة LSAD. لا يلزم إدخال تغييرات إضافية على التكوين بعد تثبيت الحماية ل CVE-2022-21913 المضمنة في تحديثات Windows وتحديثات Windows في 11 يناير 2022 على كل الإصدارات المدعومة من Windows. يجب إيقاف الإصدارات غير المعتمدة من Windows أو ترقيتها إلى إصدار معتمد.
ملاحظةيعدل CVE-2022-21913 فقط كيفية تشفير كلمات المرور الموثوق بها أثناء النقل عندما تستخدم واجهات برمجة التطبيقات المحددة لبروتوكول MS-LSAD ولا تعدل تحديدا كيفية تخزين كلمات المرور في وضع عدم الراحة. لمزيد من المعلومات حول كيفية تشفير كلمات المرور في Active Directory ومحليا في قاعدة بيانات SAM (التسجيل)، راجع نظرة عامة تقنية حول كلمات المرور.
مزيد من المعلومات
التغييرات التي تم إدخالها في التحديثات التي تم إدخالها في 11 يناير 2022
-
نمط كائن النهج
تقوم التحديثات بتعديل نمط كائن النهج للبروتوكول عن طريق إضافة أسلوب نهج مفتوح جديد يمكن العميل والخادم من مشاركة معلومات حول دعم AES.أسلوب قديم يستخدم RC4
أسلوب جديد باستخدام AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
للحصول على قائمة كاملة بأسماء البروتوكولات MS-LSAR، راجع [MS-LSAD]:أحداث معالجة الرسائل وقواعد التسلسل .
-
نمط كائن المجال الموثوق به
تعمل التحديثات على تعديل نمط إنشاء كائن مجال موثوق به للبروتوكول عن طريق إضافة أسلوب جديد لإنشاء ثقة تستخدم AES لتشفير بيانات المصادقة.
ستفضل الآن LsaCreateTrustedDomainEx API الأسلوب الجديد إذا تم تحديث كل من العميل و الخادم وتراجعا إلى الأسلوب الأقدم بخلاف ذلك.
أسلوب قديم يستخدم RC4
أسلوب جديد باستخدام AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
تقوم التحديثات بتعديل نمط مجموعة كائن المجال الموثوق به للبروتوكول بإضافة نوعين جديدين من فئات المعلومات الموثوق بها إلى الأساليب LsarSetInformationTrustedDomain (Opnum 27) و LsarSetTrustedDomainInfoByName (Opnum 49). يمكنك تعيين معلومات "كائن المجال الموثوق به" كما يلي.
أسلوب قديم يستخدم RC4
أسلوب جديد باستخدام AES
LsarSetInformationTrustedDomain (Opnum 27) مع TrustedDomainAuthInformationInternal أو TrustedDomainFullInformationInternal (يحتفظ بكلمة مرور ثقة مشفرة تستخدم RC4)
LsarSetInformationTrustedDomain (Opnum 27) مع TrustedDomainAuthInformationInternalAes أو TrustedDomainFullInformationAes (يحتفظ بكلمة مرور ثقة مشفرة تستخدم AES)
LsarSetTrustedDomainInfoByName (Opnum 49) مع TrustedDomainAuthInformationInternal أو TrustedDomainFullInformationInternal (يحتفظ بكلمة مرور ثقة مشفرة تستخدم RC4 وكل السمات الأخرى)
LsarSetTrustedDomainInfoByName (Opnum 49) مع TrustedDomainAuthInformationInternalAes أو TrustedDomainFullInformationInternalAes (يحتفظ بكلمة مرور ثقة مشفرة تستخدم AES وكل السمات الأخرى)
كيفية عمل السلوك الجديد
يستخدم أسلوب LsarOpenPolicy2 الموجود عادة لفتح مقبض سياق إلى خادم RPC. هذه هي الدالة الأولى التي يجب استدعاها للاتصال بقاعدة بيانات البروتوكول البعيد لبروتوكول بعيد لسلطات الأمان المحلية (نهج المجال). بعد تثبيت هذه التحديثات، يتم تطبيق أسلوب LsarOpenPolicy2 على أسلوب LsarOpenPolicy3 الجديد.
سيتصل الآن العميل المحدث الذي يستدعي LsaOpenPolicy API ب الأسلوب LsarOpenPolicy3 أولا. إذا لم يتم تحديث الخادم ولم ينفذ أسلوب LsarOpenPolicy3، فيعود العميل إلى أسلوب LsarOpenPolicy2، ويستخدم الأساليب السابقة التي تستخدم تشفير RC4.
سيرجع الخادم المحدث بت جديدا في استجابة أسلوب LsarOpenPolicy3، كما هو محدد في LSAPR_REVISION_INFO_V1. لمزيد من المعلومات، راجع المقطعين "استخدام رموز AES" و"LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" في MS-LSAD.
إذا كان الخادم يدعم AES، سيستخدم العميل الأساليب الجديدة وفئات المعلومات الجديدة لعمليات "إنشاء" و"تعيين" المجالات الموثوق بها اللاحقة. إذا لم يقوم الخادم بإرجاع هذه العلامة، أو إذا لم يتم تحديث العميل، سيرجع العميل إلى استخدام الأساليب السابقة التي تستخدم تشفير RC4.
تسجيل الأحداث
تضيف تحديثات 11 يناير 2022 حدثا جديدا إلى سجل أحداث الأمان للمساعدة في تحديد الأجهزة التي لم يتم تحديثها وللمساعدة على تحسين الأمان.
|
القيمة |
المعنى |
|---|---|
|
مصدر الحدث |
Microsoft-Windows-Security |
|
"معرّف الحدث" |
6425 |
|
المستوى |
معلومات |
|
نص رسالة الحدث |
استخدم عميل الشبكة أسلوب RPC القديم لتعديل معلومات المصادقة على كائن مجال موثوق به. تم تشفير معلومات المصادقة باستخدام خوارزمية تشفير القديمة. فكر في ترقية نظام تشغيل العميل أو التطبيق لاستخدام أحدث إصدار وأكثر أمانا من هذا الأسلوب. المجال الموثوق به:
تم التعديل بواسطة:
عنوان شبكة العميل: لمزيد من المعلومات، انتقل إلىhttps://go.microsoft.com/fwlink/?linkid=2161080 . |
الأسئلة المتكررة (الأسئلة المتكررة)
س1: ما هي السيناريوهات التي تؤدي إلى تخفيض التصنيف من AES إلى RC4؟
A1: يحدث تخفيض إذا كان الخادم أو العميل لا يدعم AES.
س2: كيف يمكنني معرفة ما إذا كان قد تم التفاوض بشأن تشفير RC4 أو تشفير AES؟
A2: ستسجل الخوادم المحدثة الحدث 6425 عند استخدام الأساليب القديمة التي تستخدم RC4.
Q3: هل يمكنني طلب تشفير AES على الخادم، Windows التحديثات برمجيا باستخدام AES؟
A3: لا يتوفر حاليا أي وضع فرض. ومع ذلك، قد يكون هناك تغيير في المستقبل، على الرغم من عدم جدولة مثل هذا التغيير.
س4: هل يدعم عملاء كيانات خارجية الحماية ل CVE-2022-21913 التفاوض بشأن AES عندما يكون مدعوما من الخادم؟ هل يجب الاتصال بدعم Microsoft أو فريق الدعم من جهة خارجية لمعالجة هذا السؤال؟
A4: إذا كان جهاز أو تطبيق من جهة خارجية لا يستخدم بروتوكول MS-LSAD، فهذا ليس مهما. قد يختار موردو الجهات الخارجية الذين ينفذون بروتوكول MS-LSAD تنفيذ هذا البروتوكول. لمزيد من المعلومات، اتصل بمورد جهة خارجية.
س5: هل يجب إجراء أي تغييرات إضافية على التكوين؟
A5: لا يلزم إجراء أي تغييرات إضافية على التكوين.
س6: ما الذي يستخدم هذا البروتوكول؟
A6: يستخدم بروتوكول MS-LSAD من قبل العديد من مكونات Windows، بما في ذلك Active Directory وأدوات مثل وحدة تحكم مجالات Active Directory والثقة. قد تستخدم التطبيقات أيضا هذا البروتوكول من خلال واجهات برمجة تطبيقات مكتبة advapi32، مثل LsaOpenPolicy أو LsaCreateTrustedDomainEx.
