Забележка
- Актуализирано
- 10 април 2023 г.: актуализирана е "Трета фаза на внедряване" от 11 април 2023 г. до 13 юни 2023 г. в раздела "Време на актуализациите за справяне с CVE-2022-37967".
В тази статия
- Обобщение
- Време на актуализациите за справяне с CVE-2022-37967
- Указания за разполагане
- Настройки на ключове от системния регистър
- Събития на Windows, свързани с CVE-2022-37967
- Устройства на трети лица, внедряващи протокол Kerberos
- Терминологичен речник
Обобщение
Актуализациите на Windows от 8 ноември 2022 г. адресират уязвимостите в заобикалянето на сигурността и повишаването на привилегиите с подписи на сертификата за атрибути на привилегиите (PAC). Тази актуализация на защитата адресира уязвимости на Kerberos, при които атакуващият може цифрово да промени PAC подписите, повишавайки привилегиите си.
За да защитите вашата среда, инсталирайте тази актуализация на Windows на всички устройства, включително домейновите контролери на Windows. Първо трябва да се актуализират всички домейнови контролери във вашия домейн, преди да превключите актуализацията в принудителен режим.
За да научите повече за тези уязвимости, вижте CVE-2022-37967.
Предприемане на действие
За да защитите вашата среда и да предотвратите прекъсвания на работата, ви препоръчваме да изпълните следните стъпки:
- АКТУАЛИЗИРАЙТЕ вашите домейнови контролери на Windows с актуализация на Windows, издадена на или след 8 ноември 2022 г.
- ПРЕМЕСТЕТЕ вашите домейнови контролери на Windows в режим на проверка, като използвате секцията за настройка на ключ от системния регистър .
- MONITOR събития, подадени в режим на проверка, за да защитите своята среда.
- РАЗРЕШАВАНЕ Режим на прилагане за справяне с CVE-2022-37967 във вашата среда.
Забележка Стъпка 1 от инсталирането на актуализации, издадени на или след 8 ноември 2022 г., НЯМА да адресира проблемите със защитата в CVE-2022-37967 за устройства с Windows по подразбиране. За да облекчите напълно проблема със защитата за всички устройства, трябва да преминете в режим на проверка (описан в стъпка 2), последван от режим на наложен (описан в стъпка 4), колкото е възможно по-скоро на всички домейнови контролери на Windows.
Важно От юли 2023 г. режимът на прилагане ще бъде активиран на всички домейнови контролери на Windows и ще блокира уязвими връзки от несъвместими устройства. Тогава няма да можете да забраните актуализирането, но е възможно да се върнете към настройката на режим на проверка. Режимът на проверка ще бъде премахнат през октомври 2023 г., както е описано в раздела Времена на актуализации за справяне с уязвимостта на Kerberos CVE-2022-37967 .
Време на актуализациите за справяне с CVE-2022-37967
Актуализациите ще бъдат издадени на етапи: първоначалната фаза за актуализациите, издадени на или след 8 ноември 2022 г., и фазата на прилагане за актуализации, издадени на или след 13 юни 2023 г.
8 ноември 2022 г. – фаза на първоначално внедряване
Фазата на първоначалното внедряване започва с актуализациите, издадени на 8 ноември 2022 г., и продължава с по-късните актуализации на Windows до фазата на прилагане. Тази актуализация добавя подписи към Kerberos PAC буфера, но не проверява за подписи по време на удостоверяването. Поради това защитеният режим е забранен по подразбиране.
Тази актуализация:
- Добавя PAC подписи към Kerberos PAC буфера.
- Добавя мерки за справяне с уязвимостта на заобикаляне на защитата в протокола Kerberos.
13 декември 2022 г. – втора фаза на внедряване
Втората фаза на разполагане започва с актуализации, издадени на 13 декември 2022 г. Тези и по-нови актуализации правят промени в протокола Kerberos за проверка на устройства с Windows, като преместват домейновите контролери на Windows в режим на проверка.
С тази актуализация всички устройства ще бъдат в режим на проверка по подразбиране:
- Ако подписът липсва или е невалиден, удостоверяването е разрешено. Освен това ще бъде създаден регистрационен файл за проверка.
- Ако подписът липсва, вдигнете събитие и разрешете удостоверяването.
- Ако подписът е наличен, удостоверете го. Ако подписът е неправилен, вдигнете събитие и разрешете удостоверяването.
13 юни 2023 г. – Трета фаза на внедряване
Актуализациите на Windows, издадени на или след 13 юни 2023 г., ще направят следното:
- Премахнете възможността за забраняване на добавянето на PAC подпис, като зададете подключа KrbtgtFullPacSignature на стойност 0.
11 юли 2023 г. – Фаза на първоначално изпълнение
Актуализациите на Windows, издадени на или след 11 юли 2023 г., ще направят следното:
- Премахва възможността за задаване на стойност 1 за подключа KrbtgtFullPacSignature .
- Премества актуализацията в режим на прилагане (по подразбиране) (KrbtgtFullPacSignature = 3), който може да бъде заменен от администратор с изрична настройка за проверка.
10 октомври 2023 г. – Фаза на пълно прилагане
Актуализациите на Windows, издадени на или след 10 октомври 2023 г., ще направят следното:
- Премахва поддръжката за подключа на системния регистър KrbtgtFullPacSignature.
- Премахва поддръжката за режима на проверка.
- На всички билети за обслужване без новите подписи на PAC ще бъде отказано удостоверяване.
Указания за разполагане
За да разположите актуализации на Windows, които са с дата 8 ноември 2022 г. или по-нови актуализации на Windows, следвайте следните стъпки:
- АКТУАЛИЗИРАЙТЕ вашите домейнови контролери на Windows с актуализация, издадена на или след 8 ноември 2022 г.
- ПРЕМЕСТЕТЕ домейновите контролери в режим на проверка, като използвате секцията за настройка на ключ от системния регистър .
- MONITOR събития, подадени в режим на проверка, за да защитите своята среда.
- РАЗРЕШАВАНЕ Режим на прилагане за справяне с CVE-2022-37967 във вашата среда.
СТЪПКА 1: АКТУАЛИЗИРАНЕ
Разположете актуализациите от 8 ноември 2022 г. или по-нови на всички приложими домейнови контролери (DCs) на Windows. След внедряването на актуализацията домейновите контролери на Windows, които са актуализирани, ще имат подписи, добавени към Kerberos PAC буфера, и ще бъдат незащитени по подразбиране (PAC подписът не е валидиран).
- Докато актуализирате, не забравяйте да поддържате стойността на системния регистър KrbtgtFullPacSignature в състояние по подразбиране, докато не се актуализират всички домейнови контролери на Windows.
СТЪПКА 2: ПРЕМЕСТВАНЕ
След като домейновите контролери на Windows са актуализирани, превключете в режим на проверка, като промените стойността на KrbtgtFullPacSignature на 2.
СТЪПКА 3: ТЪРСЕНЕ/НАБЛЮДЕНИЕ
Идентифицирайте областите, в които липсват PAC подписи или PAC подписи, които не са преминали успешно проверка чрез регистрите на събитията, задействани в режим на проверка.
- Уверете се, че функционалното ниво на домейна е настроено най-малко на 2008 или по-високо, преди да преминете към режим на прилагане. Преминаването в режим на прилагане с домейни на функционално ниво на домейн 2003 може да доведе до неуспешни опити за удостоверяване.
- Събития за проверка ще се появят, ако вашият домейн не е напълно актуализиран или ако в домейна ви все още съществуват неиздадени по-рано издадени билети за услуги.
- Продължете да следите за допълнителни подадени регистри на събитията, които показват липсващи PAC подписи или неуспешни проверки на съществуващи PAC подписи.
- След като целият домейн е актуализиран и всички останали билети са изтекли, събитията за проверка не би трябвало повече да се появяват. След това би трябвало да можете да преминете към режим на прилагане без никакви грешки.
СТЪПКА 4: РАЗРЕШЕТЕ
Разрешаване на режима на прилагане за справяне с CVE-2022-37967 във вашата среда.
- След като всички събития от проверката са разрешени и вече не се появяват, преместете домейните си в режим на изпълнение, като актуализирате стойността в системния регистър KrbtgtFullPacSignature , както е описано в раздела "Настройки на ключ от системния регистър ".
- Ако билет за обслужване има невалиден PAC подпис или липсват PAC подписи, проверката ще е неуспешна и ще бъде регистрирано събитие за грешка.
Настройки на ключове от системния регистър
протокол Kerberos
След инсталиране на актуализациите на Windows, които са с дата до 8 ноември 2022 г., следният ключ от системния регистър е наличен за протокола Kerberos:
KrbtgtFullPacSignature
Този ключ от системния регистър се използва за прехвърляне на внедряването на промените в Kerberos. Този ключ от системния регистър е временен и вече няма да бъде прочетен след пълната дата на влизане в сила на 10 октомври 2023 г.
Ключ от системния регистър HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc Стойност KrbtgtFullPacSignature Тип данни REG_DWORD Данни 0 – Дезактивирано
1 – Добавят се нови подписи, но не са проверени. (Настройка по подразбиране)
2 - Режим на проверка. Добавят се нови подписи и се проверяват, ако има такива. Ако подписът липсва или е невалиден, удостоверяването се разрешава и се създават регистрационни файлове за проверка.
3 - Режим на изпълнение. Добавят се нови подписи и се проверяват, ако има такива. Ако подписът липсва или е невалиден, удостоверяването се отказва и се създават регистрационни файлове за проверка.Изисква се рестартиране? Не Забележка Ако трябва да промените стойността в системния регистър KrbtgtFullPacSignature , добавете ръчно и след това конфигурирайте ключа от системния регистър така, че да замести стойността по подразбиране.
Събития на Windows, свързани с CVE-2022-37967
В режим на проверка можете да намерите една от следните грешки, ако подписите в PAC липсват или са невалидни. Ако този проблем продължава по време на режима на изпълнение, тези събития ще бъдат регистрирани като грешки.
Ако откриете някоя от грешките на вашето устройство, вероятно всички домейнови контролери на Windows във вашия домейн не са актуализирани с актуализация на Windows от 8 ноември 2022 г. или по-нова. За да смекчите проблемите, ще трябва да проучите домейна си допълнително, за да намерите домейнови контролери на Windows, които не са актуални.
Забележка Ако откриете грешка с ИД на събитие 42, вижте KB5021131: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37966.
Неуспешен подпис на пълния PAC
| Регистър на събитията | Система |
|---|---|
| Тип събитие | Предупреждение |
| Източник на събитие | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| ИД на събитие | 43 |
| Текст на събитие | Центърът за разпространение на ключове (KDC) се натъкна на билет, че не може да потвърди пълен подпис в PAC. Вижте https://go.microsoft.com/fwlink/?linkid=2210019, за да научите повече. Клиент: <област>/<име> |
Липсва пълен подпис на PAC
| Регистър на събитията | Система |
|---|---|
| Тип събитие | Предупреждение |
| Източник на събитие | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| ИД на събитие | 44 |
| Текст на събитие | Центърът за разпространение на ключове (KDC) се натъква на билет, който не съдържа пълния подпис на PAC. Вижте https://go.microsoft.com/fwlink/?linkid=2210019, за да научите повече. Клиент: <област>/<име> |
Устройства на трети лица, внедряващи протокол Kerberos
Домейни, които имат домейнови контролери на трети лица, може да виждат грешки в режим на изпълнение.
Домейните с клиенти на трети лица може да отнемат повече време, за да бъдат напълно изчистени от събития за проверка след инсталирането на актуализация на Windows от 8 ноември 2022 г. или по-нова.
Свържете се с производителя на устройството (OEM) или доставчика на софтуера, за да разберете дали техният софтуер е съвместим с последната промяна в протокола.
За информация относно актуализациите на протокола вж. темата за протокола на Windows на уеб сайта на Microsoft.
Терминологичен речник
Kerberos
Kerberos е протокол за удостоверяване на компютърна мрежа, който работи въз основа на "билети", за да позволи на възли, комуникиращи по мрежа, да доказват самоличността си един на друг по сигурен начин.
Център за разпределение на ключове (KDC)
Услугата Kerberos, която предоставя услугите за удостоверяване и издаване на билети, посочени в протокола Kerberos. Услугата се изпълнява на компютри, избрани от администратора на областта или домейна; Той не присъства на всеки компютър в мрежата. Той трябва да има достъп до база данни на акаунт за областта, която обслужва. KDC са интегрирани в ролята на домейнов контролер . Това е мрежова услуга, която предоставя билети на клиентите за използване при удостоверяване на услуги.
Privilege Attribute Certificate (PAC)
Privilege Attribute Certificate (PAC) е структура, която предава информация, свързана с удостоверяването, предоставена от домейнови контролери (DCs). За повече информация вижте Privilege Attribute Certificate Data Structure.
Билет за предоставяне на билет
Специален тип билет, който може да се използва за получаване на други билети. Билетът за издаване на билет (TGT) се получава след първоначалното удостоверяване в обмена на услугата за удостоверяване (AS); след това потребителите не трябва да представят своите идентификационни данни, но могат да използват TGT за получаване на последващи билети.