الملخص
تتناول تحديثات أمان Windows التي تم إصدارها في 9 أبريل 2024 أو بعد ذلك رفع الثغرات الأمنية للامتيازات باستخدام بروتوكول التحقق من صحة Kerberos PAC. شهادة سمة الامتياز (PAC) هي ملحق لتذاكر خدمة Kerberos. يحتوي على معلومات حول المستخدم المصادق وامتيازاته. يعمل هذا التحديث على إصلاح ثغرة أمنية حيث يمكن لمستخدم العملية انتحال التوقيع لتجاوز عمليات التحقق من صحة توقيع PAC التي تمت إضافتها في KB5020805: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37967.
لمعرفة المزيد حول هذه الثغرات الأمنية، تفضل بزيارة CVE-2024-26248وCVE-2024-29056.
اتخاذ إجراء
الهامهلن تعالج الخطوة 1 لتثبيت التحديث الذي تم إصداره في 9 أبريل 2024 أو بعده مشكلات الأمان بشكل كامل في CVE-2024-26248وCVE-2024-29056 بشكل افتراضي. للتخفيف تماما من مشكلة الأمان لجميع الأجهزة، يجب الانتقال إلى الوضع المفروض (الموضح في الخطوة 3) بمجرد تحديث بيئتك بالكامل.
للمساعدة في حماية بيئتك ومنع الانقطاعات، نوصي بالخطوات التالية:
-
تحديث: يجب تحديث وحدات تحكم مجال Windows وعملاء Windows بتحديث أمان Windows تم إصداره في 9 أبريل 2024 أو بعده.
-
رصد: ستكون أحداث التدقيق مرئية في وضع التوافق لتحديد الأجهزة التي لم يتم تحديثها.
-
تمكين: بعد تمكين وضع التنفيذ بالكامل في بيئتك، سيتم تخفيف الثغرات الأمنية الموضحة في CVE-2024-26248وCVE-2024-29056 .
الخلفية
عندما تقوم محطة عمل Windows بإجراء التحقق من صحة PAC على تدفق مصادقة Kerberos الوارد، فإنها تنفذ طلبا جديدا (تسجيل دخول تذكرة الشبكة) للتحقق من صحة تذكرة الخدمة. تتم إعادة توجيه الطلب في البداية إلى وحدة تحكم مجال (DC) لمجال محطات العمل من خلال Netlogon.
إذا كان حساب الخدمة وحساب الكمبيوتر ينتميان إلى مجالات مختلفة، يتم نقل الطلب عبر علاقات الثقة الضرورية من خلال Netlogon حتى يصل إلى مجال الخدمات؛ وإلا، يقوم DC في مجال حسابات أجهزة الكمبيوتر بإجراء التحقق من الصحة. ثم يستدعي DC مركز توزيع المفاتيح (KDC) للتحقق من صحة توقيعات PAC لتذكرة الخدمة ويرسل معلومات المستخدم والجهاز مرة أخرى إلى محطة العمل.
إذا تمت إعادة توجيه الطلب والرد عبر ثقة (في الحالة التي ينتمي فيها حساب الخدمة وحساب محطة العمل إلى مجالات مختلفة)، فإن كل DC عبر الثقة يقوم بتصفية بيانات التخويل المتعلقة به.
المخطط الزمني للتغييرات
يتم إصدار التحديثات على النحو التالي. لاحظ أنه قد تتم مراجعة جدول الإصدار هذا حسب الحاجة.
تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 9 أبريل 2024. يضيف هذا التحديث سلوكا جديدا يمنع رفع الثغرات الأمنية للامتيازات الموضحة في CVE-2024-26248وCVE-2024-29056 ولكنه لا يفرضها ما لم يتم تحديث كل من وحدات تحكم مجال Windows وعملاء Windows في البيئة.
لتمكين السلوك الجديد والتخفيف من الثغرات الأمنية، يجب التأكد من تحديث بيئة Windows بأكملها (بما في ذلك وحدات التحكم بالمجال والعملاء). سيتم تسجيل أحداث التدقيق للمساعدة في تحديد الأجهزة التي لم يتم تحديثها.
التحديثات تم إصداره في 15 أكتوبر 2024 أو بعده، سينقل جميع وحدات التحكم في مجال Windows والعملاء في البيئة إلى الوضع المفروض عن طريق تغيير إعدادات مفتاح التسجيل الفرعي إلى PacSignatureValidationLevel=3 و CrossDomainFilteringLevel=4، وفرض السلوك الآمن بشكل افتراضي.
يمكن للمسؤول تجاوز الإعدادات المفروضة افتراضيا للعودة إلى وضع التوافق .
ستؤدي تحديثات أمان Windows التي تم إصدارها في 8 أبريل 2025 أو بعد ذلك إلى إزالة دعم مفاتيح التسجيل الفرعية PacSignatureValidationLevel و CrossDomainFilteringLevel وفرض السلوك الآمن الجديد. لن يكون هناك دعم لوضع التوافق بعد تثبيت هذا التحديث.
المشكلات المحتملة والتخفيف من المخاطر
هناك مشكلات محتملة قد تنشأ، بما في ذلك التحقق من صحة PAC وفشل التصفية عبر الغابات. في 9 أبريل 2024، يتضمن تحديث الأمان منطقا احتياطيا وإعدادات السجل للمساعدة في التخفيف من هذه المشكلات
إعدادات التسجيل
يتم تقديم تحديث الأمان هذا لأجهزة Windows (بما في ذلك وحدات التحكم بالمجال). يجب توزيع مفاتيح التسجيل التالية التي تتحكم في السلوك فقط إلى خادم Kerberos الذي يقبل مصادقة Kerberos الواردة وينفذ التحقق من صحة PAC.
|
مفتاح التسجيل الفرعي |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
القيمة |
PacSignatureValidationLevel |
|
|
نوع البيانات |
Reg_dword |
|
|
بيانات |
2 |
الافتراضي (التوافق مع البيئة غير المكيفة) |
|
3 |
انفاذ |
|
|
هل إعادة التشغيل مطلوبة؟ |
لا |
|
|
مفتاح التسجيل الفرعي |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
القيمة |
CrossDomainFilteringLevel |
|
|
نوع البيانات |
Reg_dword |
|
|
بيانات |
2 |
الافتراضي (التوافق مع البيئة غير المكيفة) |
|
4 |
انفاذ |
|
|
هل إعادة التشغيل مطلوبة؟ |
لا |
|
يمكن نشر مفتاح التسجيل هذا على كل من خوادم Windows التي تقبل مصادقة Kerberos الواردة، بالإضافة إلى أي وحدة تحكم مجال Windows تتحقق من صحة تدفق تسجيل الدخول الجديد لبطاقة الشبكة على طول الطريق.
|
مفتاح التسجيل الفرعي |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
القيمة |
أحداث AuditKerberosTicketLogonEvents |
|
|
نوع البيانات |
Reg_dword |
|
|
بيانات |
1 |
الافتراضي - سجل الأحداث الهامة |
|
2 |
تسجيل جميع أحداث Netlogon |
|
|
0 |
عدم تسجيل أحداث Netlogon |
|
|
هل إعادة التشغيل مطلوبة؟ |
لا |
|
سجلات الأحداث
سيتم إنشاء أحداث تدقيق Kerberos التالية على خادم Kerberos الذي يقبل مصادقة Kerberos الواردة. سيقوم خادم Kerberos هذا بالتحقق من صحة PAC، والذي يستخدم تدفق تسجيل دخول تذكرة الشبكة الجديد.
|
سجل الأحداث |
النظام |
|
نوع الحدث |
اعلاميه |
|
مصدر الحدث |
Security-Kerberos |
|
معرف الحدث |
21 |
|
نص الحدث |
أثناء تسجيل الدخول إلى بطاقة شبكة Kerberos،> بطاقة الخدمة لحساب <الحساب من المجال <المجال> الإجراءات التالية التي تم إجراؤها عليها بواسطة وحدة تحكم المجال <DC>. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2262558. |
يظهر هذا الحدث عندما اتخذت وحدة تحكم المجال إجراء غير فادح أثناء تدفق تسجيل دخول تذكرة الشبكة. اعتبارا من الآن، يتم تسجيل الإجراءات التالية:
-
تمت تصفية معرفات الأمان الخاصة للمستخدم.
-
تمت تصفية معرفات الأمان الخاصة بالجهاز.
-
تمت إزالة الهوية المركبة بسبب تصفية SID التي لا تسمح بهوية الجهاز.
-
تمت إزالة الهوية المركبة بسبب تصفية SID التي لا تسمح باسم مجال الجهاز.
|
سجل الأحداث |
النظام |
|
نوع الحدث |
الخطأ |
|
مصدر الحدث |
Security-Kerberos |
|
معرف الحدث |
22 |
|
نص الحدث |
أثناء تسجيل الدخول إلى بطاقة شبكة Kerberos، رفض DC <DC>> بطاقة الخدمة> لحساب <الحساب من> المجال <المجال. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2262558. |
يظهر هذا الحدث عندما رفضت وحدة تحكم المجال طلب تسجيل الدخول إلى بطاقة الشبكة للأسباب الموضحة في الحدث.
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير أو خطأ |
|
مصدر الحدث |
Security-Kerberos |
|
معرف الحدث |
23 |
|
نص الحدث |
أثناء تسجيل دخول تذكرة شبكة Kerberos، تعذر إعادة توجيه تذكرة الخدمة <account_name> الحساب من <domain_name> المجال إلى وحدة تحكم المجال لخدمة الطلب. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2262558. |
-
يظهر هذا الحدث كتحذير إذا لم يتم تعيين PacSignatureValidationLevel و CrossDomainFilteringLevel إلى فرض أو أكثر صرامة. عند تسجيل الدخول كتحذير، يشير الحدث إلى أن تدفقات تسجيل الدخول إلى تذكرة الشبكة اتصلت بوحدة تحكم مجال أو جهاز مكافئ لم يفهم الآلية الجديدة. تم السماح للمصادقة بالتراجع عن السلوك السابق.
-
يظهر هذا الحدث كخطأ إذا تم تعيين PacSignatureValidationLevel OR CrossDomainFilteringLevel إلى فرض أو أكثر صرامة. يشير هذا الحدث على أنه "خطأ" إلى أن تدفق تسجيل دخول تذكرة الشبكة اتصل بوحدة تحكم بالمجال أو جهازا مكافئا لم يفهم الآلية الجديدة. تم رفض المصادقة، ولا يمكن الرجوع إلى السلوك السابق.
|
سجل الأحداث |
النظام |
|
نوع الحدث |
الخطأ |
|
مصدر الحدث |
Netlogon |
|
معرف الحدث |
5842 |
|
نص الحدث |
واجهت خدمة Netlogon خطأ غير متوقع عند معالجة طلب تسجيل دخول تذكرة شبكة Kerberos. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2261497. حساب تذكرة الخدمة:> حساب < مجال تذكرة الخدمة:> مجال < اسم محطة العمل:> اسم الجهاز < الحالة:> رمز الخطأ < |
يتم إنشاء هذا الحدث كلما صادف Netlogon خطأ غير متوقع أثناء طلب تسجيل دخول بطاقة الشبكة. يتم تسجيل هذا الحدث عند تعيين AuditKerberosTicketLogonEvents إلى (1) أو أعلى.
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Netlogon |
|
معرف الحدث |
5843 |
|
نص الحدث |
فشلت خدمة Netlogon في إعادة توجيه طلب تسجيل دخول تذكرة شبكة Kerberos إلى وحدة تحكم المجال <DC>. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2261497. حساب تذكرة الخدمة:> حساب < مجال تذكرة الخدمة:> مجال < اسم محطة العمل:> اسم الجهاز < |
يتم إنشاء هذا الحدث كلما تعذر على Netlogon إكمال تسجيل الدخول إلى بطاقة الشبكة لأن وحدة تحكم المجال لم تفهم التغييرات. بسبب القيود في بروتوكول Netlogon، يتعذر على عميل Netlogon تحديد ما إذا كانت وحدة تحكم المجال التي يتحدث إليها عميل Netlogon مباشرة هي التي لا تفهم التغييرات، أو ما إذا كانت وحدة تحكم بالمجال على طول سلسلة إعادة التوجيه التي لا تفهم التغييرات.
-
إذا كان مجال تذكرة الخدمة هو نفس مجال حساب الجهاز، فمن المحتمل أن وحدة تحكم المجال في سجل الأحداث لا تفهم تدفق تسجيل الدخول إلى بطاقة الشبكة.
-
إذا كان مجال تذكرة الخدمة مختلفا عن مجال حساب الجهاز، فإن إحدى وحدات التحكم بالمجال على طول الطريق من مجال حساب الجهاز إلى مجال حساب الخدمة لم تفهم تدفق تسجيل الدخول إلى تذكرة الشبكة
هذا الحدث متوقف عن التشغيل بشكل افتراضي. توصي Microsoft بأن يقوم المستخدمون أولا بتحديث أسطولهم بأكمله قبل تشغيل الحدث.
يتم تسجيل هذا الحدث عند تعيين AuditKerberosTicketLogonEvents إلى (2).
الأسئلة المتداولة (FAQ)
لن تتعرف وحدة تحكم المجال التي لم يتم تحديثها على بنية الطلب الجديدة هذه. سيؤدي هذا إلى فشل فحص الأمان. في وضع التوافق، سيتم استخدام بنية الطلب القديمة. لا يزال هذا السيناريو عرضة ل CVE-2024-26248وCVE-2024-29056.
نعم. وذلك لأن تدفق تسجيل الدخول إلى تذكرة الشبكة الجديد قد يلزم توجيهه عبر المجالات للوصول إلى مجال حساب الخدمة.
قد يتم تخطي التحقق من صحة PAC في ظروف معينة، بما في ذلك، على سبيل المثال لا الحصر، السيناريوهات التالية:
-
إذا كانت الخدمة لها امتياز TCB. بشكل عام، تتمتع الخدمات التي تعمل ضمن سياق حساب SYSTEM (مثل مشاركات ملفات SMB أو خوادم LDAP) بهذا الامتياز.
-
إذا تم تشغيل الخدمة من Task Scheduler.
وإلا، يتم إجراء التحقق من صحة PAC على جميع تدفقات مصادقة Kerberos الواردة.
تتضمن هذه CVEs رفعا محليا للامتياز حيث يحاول حساب خدمة ضار أو مخترق يعمل على محطة عمل Windows رفع امتيازها للحصول على حقوق الإدارة المحلية. وهذا يعني أن محطة عمل Windows التي تقبل مصادقة Kerberos الواردة فقط تتأثر.
