Резюме
Актуализациите на Windows от 11 януари 2022 г. и по-новите актуализации на Windows добавят защити за CVE-2022-21913.
След като инсталирате актуализациите на Windows от 11 януари 2022 г. или по-нови актуализации на Windows, шифроването с разширено шифроване Standard (AES) ще бъде зададено като предпочитания метод за шифроване на клиенти на Windows, когато използвате наследения протокол на местния орган за защита (домейнови правила) (MS-LSAD) за операции с пароли на надеждни обекти на домейни, които се изпращат по мрежа. Това е вярно само ако AES шифроването се поддържа от сървъра. Ако AES шифроването не се поддържа от сървъра, системата ще позволи резервно копие към наследеното RC4 криптиране.
Промените в CVE-2022-21913 са специфични за протокола MS-LSAD. Те са независими от други протоколи. MS-LSAD използва блок от съобщения на сървър (SMB) върху извикване на отдалечена процедура
(RPC) и наименувани канали. Макар че SMB също поддържа шифроване, то не е разрешено по подразбиране. По подразбиране промените в CVE-2022-21913 са разрешени и предоставят допълнителна защита на слоя LSAD. Не са необходими допълнителни промени в конфигурацията освен инсталирането на защитите за CVE-2022-21913 , които са включени в актуализациите на Windows от 11 януари 2022 г. и по-новите актуализации на Windows на всички поддържани версии на Windows. Неподдържаните версии на Windows трябва да бъдат прекратени или надстроени до поддържана версия.
Забележка: CVE-2022-21913 променя само начина, по който надеждните пароли се шифроват при прехвърляне, когато използвате конкретни API на протокола MS-LSAD, и по-специално не променя начина, по който паролите се съхраняват в покой. За повече информация относно начина на шифроване на паролите в покой в Active Directory и локално в базата данни (системния регистър) на SAM, вж. техническия преглед на паролите.
Още информация
Промени, направени от актуализациите от 11 януари 2022 г.
Модел на обект на правилата
Актуализациите променят модела на обект на правилата на протокола чрез добавяне на нов метод с отворени правила, който позволява на клиента и сървъра да споделят информация за поддръжката на AES.
Стар метод, използващ RC4 Нов метод с използване на AES LsarOpenPolicy2 (Opnum 44) LsarOpenPolicy3 (opnum 130) За пълен списък на оперативните елементи на протокола MS-LSAR вижте [MS-LSAD]: Събития за обработка на съобщения и правила за поредност.
Шаблон на обект на надежден домейн
Актуализациите променят обект с надежден домейн Създаване на модел на протокола чрез добавяне на нов метод за създаване на доверие, който ще използва AES за шифроване на данните за удостоверяване.
API на LsaCreateTrustedDomainEx сега ще предпочита новия метод, ако клиентът и сървърът са актуализирани и в противен случай се връщат към по-стария метод.Стар метод, използващ RC4 Нов метод с използване на AES LsarCreateTrustedDomainEx2 (Opnum 59) LsarCreateTrustedDomainEx3 (Opnum 129) Актуализациите променят модела за набор от обекти на надеждни домейни на протокола чрез добавяне на два нови класа надеждна информация към методите LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Можете да зададете информацията за обект с надежден домейн по следния начин.
Стар метод, използващ RC4 Нов метод с използване на AES LsarSetInformationTrustedDomain (Opnum 27) заедно с TrustedDomainAuthInformationInternal или TrustedDomainFullInformationInternal (съдържа шифрована парола за доверие, която използва RC4) LsarSetInformationTrustedDomain (Opnum 27) заедно с TrustedDomainAuthInformationInternalAes или TrustedDomainFullInformationAes (притежава шифрована парола за доверие, която използва AES) LsarSetTrustedDomainInfoByName (Opnum 49) заедно с TrustedDomainAuthInformationInternal или TrustedDomainFullInformationInternal (съдържа шифрована парола за доверие, която използва RC4 и всички други атрибути) LsarSetTrustedDomainInfoByName (Opnum 49) заедно с TrustedDomainAuthInformationInternalAes или TrustedDomainFullInformationInternalAes (съдържа шифрована парола за доверие, която използва AES и всички други атрибути)
Как работи новото поведение
Съществуващият метод LsarOpenPolicy2 обикновено се използва за отваряне на контекстен манипулатор към RPC сървъра. Това е първата функция, която трябва да бъде извикана, за да се свържете с базата данни за отдалечен протокол на местния орган за защита (домейнови правила). След като инсталирате тези актуализации, методът LsarOpenPolicy2 се замества от новия метод LsarOpenPolicy3.
Актуализиран клиент, който извиква API LsaOpenPolicy , сега първо ще извиква метода LsarOpenPolicy3. Ако сървърът не е актуализиран и не приложи метода LsarOpenPolicy3, клиентът се връща към метода LsarOpenPolicy2 и той използва предишните методи, които използват RC4 шифроване.
Актуализираният сървър ще върне нов бит в отговора на метода LsarOpenPolicy3, както е дефинирано в LSAPR_REVISION_INFO_V1. За повече информация вж. разделите "Използване на AES шифър" и "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" в MS-LSAD.
Ако сървърът поддържа AES, клиентът ще използва новите методи и новите класове информация за последващи операции "създаване" и "задаване" на надеждни домейни. Ако сървърът не върне този флаг или ако клиентът не е актуализиран, клиентът ще се върне към използване на предишните методи, които използват RC4 шифроване.
Регистриране на събития
Актуализациите от 11 януари 2022 г. добавят ново събитие към регистъра на събитията за защита, за да помогнат за идентифицирането на устройства, които не са актуализирани, и за подобряване на защитата.
| Value | Значение |
|---|---|
| Източник на събитие | Microsoft-Windows-Security |
| ИД на събитие | 6425 |
| Ниво | Информация |
| Текст на съобщение за събитие | Мрежов клиент използва наследен RPC метод за модифициране на информацията за удостоверяване на обект с надежден домейн. Информацията за удостоверяване е шифрована със стар алгоритъм за шифроване. Помислете за надстройване на клиентската операционна система или приложение, така че да използва най-новата и по-защитена версия на този метод. Надежден домейн:
Име на RPC метод: За повече информация отидете на https://go.microsoft.com/fwlink/?linkid=2161080. |
Често задавани въпроси (ЧЗВ)
В1: Какви сценарии предизвикват понижаване от AES към RC4?
О1: Връщане към по-стара версия възниква, ако сървърът или клиентът не поддържа AES.
В2: Как мога да разбера дали е договорено RC4 криптиране или AES криптиране?
О2: Актуализираните сървъри ще регистрират събитие 6425, когато се използват наследени методи, които използват RC4.
В3: Мога ли да изисквам AES шифроване на сървъра и бъдещите актуализации на Windows ще се прилагат програмно с помощта на AES?
О3: В момента няма наличен режим на прилагане. Възможно е обаче да има такова в бъдеще, въпреки че такава промяна не е планирана.
В4: Клиенти трети лица поддържат ли защити за CVE-2022-21913 за договаряне на AES, когато се поддържа от сървъра? Трябва ли да се свържа с поддръжката от Microsoft или екипа по поддръжката на трети лица, за да отговоря на този въпрос?
О4: Ако устройство или приложение на трета страна не използва протокола MS-LSAD, това не е важно. Други доставчици, които прилагат протокола MS-LSAD, може да изберат да внедрят този протокол. За повече информация се обърнете към доставчика трето лице.
В5: Трябва ли да се правят допълнителни промени в конфигурацията?
О5: Не са необходими допълнителни промени в конфигурацията.
В6: Какво използва този протокол?
О6: Протоколът MS-LSAD се използва от много компоненти на Windows, включително Active Directory и инструменти като домейни на Active Directory и конзола за гаранти. Приложенията могат също да използват този протокол чрез API на библиотеки advapi32, като например LsaOpenPolicy или LsaCreateTrustedDomainEx.