تغيير السجل
|
التغيير 1: 19 يونيو 2023:
|
في هذه المقالة
الملخص
تتناول تحديثات Windows التي تم إصدارها في 8 نوفمبر 2022 أو بعد ذلك تجاوز الأمان ورفع مستوى الثغرة الأمنية للامتيازات باستخدام تفاوض المصادقة باستخدام تفاوض RC4-HMAC الضعيف.
سيقوم هذا التحديث بتعيين AES كنوع التشفير الافتراضي لمفاتيح الجلسة على الحسابات التي لم يتم وضع علامة عليها بنوع تشفير افتراضي بالفعل.
للمساعدة في تأمين بيئتك، قم بتثبيت تحديثات Windows التي تم إصدارها في 8 نوفمبر 2022 أو بعد ذلك على جميع الأجهزة، بما في ذلك وحدات التحكم بالمجال. راجع تغيير 1.
لمعرفة المزيد حول هذه الثغرات الأمنية، راجع CVE-2022-37966.
اكتشاف أنواع تشفير مفتاح جلسة العمل التي تم تعيينها بشكل صريح
قد يكون لديك أنواع تشفير محددة بشكل صريح على حسابات المستخدمين المعرضة ل CVE-2022-37966. ابحث عن الحسابات التي يتم فيها تمكين DES / RC4 بشكل صريح ولكن ليس AES باستخدام استعلام Active Directory التالي:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
إعدادات مفتاح التسجيل
بعد تثبيت تحديثات Windows التي تم تحديثها في 8 نوفمبر 2022 أو بعد ذلك، يتوفر مفتاح التسجيل التالي لبروتوكول Kerberos:
DefaultDomainSupportedEncTypes
|
مفتاح التسجيل |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
القيمة |
DefaultDomainSupportedEncTypes |
|
نوع البيانات |
Reg_dword |
|
قيمة البيانات |
0x27 (افتراضي) |
|
هل إعادة التشغيل مطلوبة؟ |
لا |
ملاحظة إذا كان يجب تغيير نوع التشفير المدعوم الافتراضي لمستخدم أو كمبيوتر Active Directory، فقم بإضافة مفتاح التسجيل وتكوينه يدويا لتعيين نوع التشفير المدعوم الجديد. لا يضيف هذا التحديث مفتاح التسجيل تلقائيا.
تستخدم وحدات تحكم مجال Windows هذه القيمة لتحديد أنواع التشفير المدعومة على الحسابات في Active Directory التي تكون قيمة msds-SupportedEncryptionType إما فارغة أو غير معينة. يقوم الكمبيوتر الذي يقوم بتشغيل إصدار مدعوم من نظام التشغيل Windows تلقائيا بتعيين msds-SupportedEncryptionTypes لحساب الأجهزة هذا في Active Directory. يستند هذا إلى القيمة المكونة من أنواع التشفير التي يسمح لبروتوكول Kerberos باستخدامها. لمزيد من المعلومات، راجع أمان الشبكة: تكوين أنواع التشفير المسموح بها ل Kerberos.
لا تحتوي حسابات المستخدمين وحسابات الخدمة المدارة للمجموعة والحسابات الأخرى في Active Directory على قيمة msds-SupportedEncryptionTypes التي تم تعيينها تلقائيا.
للعثور على أنواع التشفير المدعومة التي يمكنك تعيينها يدويا، يرجى الرجوع إلى علامات بت أنواع التشفير المدعومة. لمزيد من المعلومات، راجع ما يجب عليك فعله أولا للمساعدة في إعداد البيئة ومنع مشكلات مصادقة Kerberos.
تم اختيار القيمة الافتراضية 0x27 (DES وRC4 ومفاتيح جلسة AES) كحد أدنى للتغيير الضروري لتحديث الأمان هذا. نوصي العملاء بتعيين القيمة إلى 0x3C لزيادة الأمان حيث ستسمح هذه القيمة لكل من التذاكر المشفرة من AES ومفاتيح جلسة AES. إذا اتبع العملاء إرشاداتنا للانتقال إلى بيئة AES فقط حيث لا يتم استخدام RC4 لبروتوكول Kerberos، نوصي العملاء بتعيين القيمة إلى 0x38. راجع تغيير 1.
أحداث Windows المتعلقة ب CVE-2022-37966
يفتقر مركز توزيع مفاتيح Kerberos إلى مفاتيح قوية للحساب
|
سجل الأحداث |
النظام |
|
نوع الحدث |
الخطأ |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
42 |
|
نص الحدث |
يفتقر مركز توزيع مفاتيح Kerberos إلى مفاتيح قوية للحساب: اسم الحساب. يجب تحديث كلمة مرور هذا الحساب لمنع استخدام التشفير غير الآمن. راجع https://go.microsoft.com/fwlink/?linkid=2210019 لمعرفة المزيد. |
إذا وجدت هذا الخطأ، فيجب على الأرجح إعادة تعيين كلمة مرور krbtgt قبل تعيين KrbtgtFullPacSingature = 3، أو تثبيت Windows التحديثات تم إصداره في 11 يوليو 2023 أو بعده. تم توثيق التحديث الذي يمكن وضع الإنفاذ برمجيا ل CVE-2022-37967 في المقالة التالية في قاعدة معارف Microsoft:
KB5020805: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37967
لمزيد من المعلومات حول كيفية القيام بذلك، راجع موضوع New-KrbtgtKeys.ps1 على موقع GitHub على الويب.
الأسئلة المتداولة (FAQ) والمشكلات المعروفة
الحسابات التي تم وضع علامة عليها لاستخدام RC4 الصريح ضعيفة. بالإضافة إلى ذلك، قد تكون البيئات التي لا تحتوي على مفاتيح جلسة AES داخل حساب krbgt عرضة للخطر. للتخفيف من هذه المشكلة، اتبع الإرشادات حول كيفية تحديد الثغرات الأمنية واستخدام قسم إعداد مفتاح التسجيل لتحديث الإعدادات الافتراضية للتشفير المعينة بشكل صريح.
ستحتاج إلى التحقق من أن جميع أجهزتك تحتوي على نوع تشفير Kerberos شائع. لمزيد من المعلومات حول أنواع تشفير Kerberos، راجع فك تشفير تحديد أنواع تشفير Kerberos المدعومة.
ربما كانت البيئات التي لا تحتوي على نوع تشفير Kerberos شائع تعمل مسبقا بسبب إضافة RC4 تلقائيا أو عن طريق إضافة AES، إذا تم تعطيل RC4 من خلال نهج المجموعة بواسطة وحدات التحكم بالمجال. تغير هذا السلوك مع التحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعد ذلك، وسيتبع الآن بدقة ما تم تعيينه في مفاتيح التسجيل وmsds-SupportedEncryptionTypes و DefaultDomainSupportedEncTypes.
إذا لم يكن الحساب يحتوي على msds-SupportedEncryptionTypes ، أو تم تعيينه إلى 0، تفترض وحدات التحكم بالمجال قيمة افتراضية 0x27 (39) أو ستستخدم وحدة التحكم بالمجال الإعداد في مفتاح التسجيل DefaultDomainSupportedEncTypes.
إذا كان الحساب يحتوي على مجموعة msds-SupportedEncryptionTypes ، يتم احترام هذا الإعداد وقد يعرض الفشل في تكوين نوع تشفير Kerberos شائع تم إخفاءه بواسطة السلوك السابق لإضافة RC4 أو AES تلقائيا، والذي لم يعد السلوك بعد تثبيت التحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعد ذلك.
للحصول على معلومات حول كيفية التحقق من أن لديك نوع تشفير Kerberos شائعا، راجع السؤال كيف يمكنني التحقق من أن جميع أجهزتي لديها نوع تشفير Kerberos شائع؟
راجع السؤال السابق للحصول على مزيد من المعلومات حول سبب عدم وجود نوع تشفير Kerberos شائع لأجهزتك بعد تثبيت التحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعد ذلك.
إذا قمت بالفعل بتثبيت التحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعد ذلك، يمكنك اكتشاف الأجهزة التي لا تحتوي على نوع تشفير Kerberos شائع من خلال البحث في سجل الأحداث ل Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27، والذي يحدد أنواع التشفير المفككة بين عملاء Kerberos والخوادم أو الخدمات البعيدة.
يجب ألا يؤثر تثبيت التحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعده على العملاء أو خوادم دور وحدة تحكم غير المجال على مصادقة Kerberos في بيئتك.
للتخفيف من هذه المشكلة المعروفة، افتح نافذة موجه الأوامر كمسؤول واستخدم الأمر التالي مؤقتا لتعيين مفتاح التسجيل KrbtgtFullPacSignature إلى 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
ملاحظة بمجرد حل هذه المشكلة المعروفة، يجب عليك تعيين KrbtgtFullPacSignature إلى إعداد أعلى اعتمادا على ما ستسمح به بيئتك. نوصي بتمكين وضع الإنفاذ بمجرد أن تصبح بيئتك جاهزة.
الخطوات التاليةنحن نعمل على إيجاد حل لذلك وسوف نوفر تحديثاً في إصدار قادم.
بعد تثبيت التحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعد ذلك على وحدات التحكم بالمجال، يجب أن تدعم جميع الأجهزة توقيع تذكرة AES كما هو مطلوب لتكون متوافقة مع تصلب الأمان المطلوب ل CVE-2022-37967.
الخطوات التالية إذا كنت تقوم بالفعل بتشغيل أحدث البرامج والبرامج الثابتة للأجهزة غير التي تعمل بنظام التشغيل Windows وتحققت من وجود نوع تشفير شائع متوفر بين وحدات تحكم مجال Windows والأجهزة غير التابعة ل Windows، فستحتاج إلى الاتصال بالشركة المصنعة للجهاز (OEM) للحصول على المساعدة أو استبدال الأجهزة بالأجهزة المتوافقة.
الهامه لا نوصي باستخدام أي حل بديل للسماح للأجهزة غير المتوافقة بالمصادقة، لأن هذا قد يجعل بيئتك عرضة للخطر.
تتضمن الإصدارات غير المدعومة من Windows Windows XP وWindows Server 2003 وWindows Server 2008 SP2 وWindows Server 2008 R2 SP1 التي لا يمكن الوصول إليها بواسطة أجهزة Windows المحدثة ما لم يكن لديك ترخيص ESU. إذا كان لديك ترخيص ESU، فستحتاج إلى تثبيت التحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعده والتحقق من أن التكوين الخاص بك يحتوي على نوع تشفير شائع متوفر بين جميع الأجهزة.
الخطوات التالية قم بتثبيت التحديثات، إذا كانت متوفرة لإصدار Windows الخاص بك ولديك ترخيص ESU المعمول به. إذا لم تكن التحديثات متوفرة، فستحتاج إلى الترقية إلى إصدار مدعوم من Windows أو نقل أي تطبيق أو خدمة إلى جهاز متوافق.
الهامه لا نوصي باستخدام أي حل بديل للسماح للأجهزة غير المتوافقة بالمصادقة، لأن هذا قد يجعل بيئتك عرضة للخطر.
تم حل هذه المشكلة المعروفة في التحديثات خارج النطاق التي تم إصدارها في 17 نوفمبر 2022 و18 نوفمبر 2022 للتثبيت على جميع وحدات التحكم بالمجال في بيئتك. لا تحتاج إلى تثبيت أي تحديث أو إجراء أي تغييرات على الخوادم الأخرى أو أجهزة العميل في بيئتك لحل هذه المشكلة. إذا استخدمت أي حل بديل أو عوامل تخفيف لهذه المشكلة، فلن تكون هناك حاجة إليها، ونوصي بإزالتها.
للحصول على الحزمة المستقلة لهذه التحديثات خارج النطاق، ابحث عن رقم KB في كتالوج Microsoft Update. يمكنك استيراد هذه التحديثات يدويا إلى خادم Windows Server Update Services (WSUS) وMicrosoft Endpoint Configuration Manager. للحصول على إرشادات WSUS، راجع WSUS وموقع الكتالوج. للحصول على إرشادات Configuration Manger، راجع استيراد التحديثات من كتالوج Microsoft Update.
ملاحظة التحديثات التالية غير متوفرة من Windows Update ولن يتم تثبيتها تلقائيا.
التحديثات التراكمية:
ملاحظة لا تحتاج إلى تطبيق أي تحديث سابق قبل تثبيت هذه التحديثات التراكمية. إذا قمت بالفعل بتثبيت التحديثات التي تم إصدارها في 8 نوفمبر 2022، فلن تحتاج إلى إلغاء تثبيت التحديثات المتأثرة قبل تثبيت أي تحديثات لاحقة بما في ذلك التحديثات المذكورة أعلاه.
التحديثات المستقلة:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (تم إصداره في 18 نوفمبر 2022)
-
Windows Server 2008 SP2: KB5021657
الملاحظات
-
إذا كنت تستخدم تحديثات الأمان فقط لهذه الإصدارات من Windows Server، فستحتاج فقط إلى تثبيت هذه التحديثات المستقلة لشهر نوفمبر 2022. تحديثات الأمان فقط ليست تراكمية، وستحتاج أيضا إلى تثبيت جميع تحديثات الأمان السابقة فقط لتكون محدثة بالكامل. تحديثات مجموعة التحديثات الشهرية تراكمية وتتضمن الأمان وجميع التحديثات الإصلاحية.
-
إذا كنت تستخدم تحديثات مجموعة التحديثات الشهرية، فستحتاج إلى تثبيت كل من التحديثات المستقلة المذكورة أعلاه لحل هذه المشكلة، وتثبيت مجموعة التحديثات الشهرية التي تم إصدارها في 8 نوفمبر 2022، لتلقي تحديثات الجودة لشهر نوفمبر 2022. إذا قمت بالفعل بتثبيت التحديثات التي تم إصدارها في 8 نوفمبر 2022، فلن تحتاج إلى إلغاء تثبيت التحديثات المتأثرة قبل تثبيت أي تحديثات لاحقة بما في ذلك التحديثات المذكورة أعلاه.
إذا تحققت من تكوين بيئتك ولا تزال تواجه مشكلات في أي تنفيذ غير تابع ل Microsoft ل Kerberos، فستحتاج إلى تحديثات أو دعم من المطور أو الشركة المصنعة للتطبيق أو الجهاز.
يمكن تخفيف هذه المشكلة المعروفة عن طريق القيام بأحد الإجراءات التالية:
-
قم بتعيين msds-SupportedEncryptionTypes مع bitwise أو قم بتعيينه إلى 0x27 الافتراضي الحالي للحفاظ على قيمته الحالية. على سبيل المثال:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
قم بتعيين msds-SupportEncryptionTypes إلى 0 للسماح لوحدات التحكم بالمجال باستخدام القيمة الافتراضية 0x27.
الخطوات التاليةنحن نعمل على إيجاد حل لذلك وسوف نوفر تحديثاً في إصدار قادم.
مسرد
معيار التشفير المتقدم (AES) هو تشفير كتلة يحل محل معيار تشفير البيانات (DES). يمكن استخدام AES لحماية البيانات الإلكترونية. يمكن استخدام خوارزمية AES لتشفير (تشفير) وفك تشفير (فك التشفير) المعلومات. يقوم التشفير بتحويل البيانات إلى نموذج غير مفهوم يسمى النص المشفر؛ يؤدي فك تشفير النص المشفر إلى تحويل البيانات مرة أخرى إلى شكلها الأصلي، يسمى نص عادي. يتم استخدام AES في تشفير المفتاح المتماثل، ما يعني أن نفس المفتاح يستخدم لعمليات التشفير وفك التشفير. كما أنه تشفير كتلة، ما يعني أنه يعمل على كتل ثابتة الحجم من النص العادي والنص المشفر، ويتطلب حجم النص العادي بالإضافة إلى النص المشفر ليكون مضاعفا دقيقا لحجم الكتلة هذا. يعرف AES أيضا باسم خوارزمية التشفير المتماثل Rijndael [FIPS197].
Kerberos هو بروتوكول مصادقة شبكة كمبيوتر يعمل على أساس "التذاكر" للسماح للعقد التي تتصل عبر الشبكة لإثبات هويتها لبعضها البعض بطريقة آمنة.
خدمة Kerberos التي تنفذ خدمات المصادقة ومنح التذاكر المحددة في بروتوكول Kerberos. تعمل الخدمة على أجهزة الكمبيوتر التي حددها مسؤول النطاق أو المجال؛ وهو غير موجود على كل جهاز على الشبكة. يجب أن يكون لديها حق الوصول إلى قاعدة بيانات حساب النطاق الذي تخدمه. يتم دمج KDCs في دور وحدة التحكم بالمجال. وهي خدمة شبكة توفر تذاكر للعملاء لاستخدامها في المصادقة على الخدمات.
RC4-HMAC (RC4) هي خوارزمية تشفير متماثلة متغيرة طول المفتاح. لمزيد من المعلومات، راجع القسم [SCHNEIER] 17.1.
مفتاح متماثل قصير الأجل نسبيا (مفتاح تشفير تم التفاوض عليه من قبل العميل والخادم استنادا إلى سر مشترك). يتم ربط عمر مفاتيح الجلسة بجلسة العمل التي ترتبط بها. يجب أن يكون مفتاح الجلسة قويا بما يكفي لتحمل التشفير طوال عمر الجلسة.
نوع خاص من التذاكر التي يمكن استخدامها للحصول على تذاكر أخرى. يتم الحصول على تذكرة منح التذاكر (TGT) بعد المصادقة الأولية في تبادل خدمة المصادقة (AS)؛ بعد ذلك، لا يحتاج المستخدمون إلى تقديم بيانات الاعتماد الخاصة بهم، ولكن يمكنهم استخدام TGT للحصول على تذاكر لاحقة.
