Първоначална дата на публикуване: 9 април 2024 г.
ИД в КБ: 5037754
Поддръжката за Windows 10 ще приключи през октомври 2025 г.
След 14 октомври 2025 г. Microsoft вече няма да предоставя безплатни актуализации на софтуера от Windows Update, техническа помощ или корекции на защитата за Windows 10. Вашият компютър все още ще работи, но ви препоръчваме да преминете към Windows 11.
|
Промяна на датата |
Описание |
|
9 януари 2025 г. |
Под "Януари 2025 г.: Наложено по подразбиране" в раздела "Времева линия на промените" подчерта, че съществуващите настройки на ключове от системния регистър ще заместят поведението по подразбиране на актуализациите, издадени през или след януари 2025 г. |
|
1 октомври 2024 г. |
Променена е фазата Наложена по подразбиране от октомври 2024 г. на януари 2025 г. |
Резюме
Актуализациите на защитата на Windows, издадени на или след 9 април 2024 г., адресират увеличаване на уязвимостите с привилегии с Протокола kerberos PAC Validation Protocol. Сертификатът на атрибута Privilege (PAC) е разширение на билети за услуги на Kerberos. Съдържа информация за удостоверяващия потребител и неговите привилегии. Тази актуализация коригира уязвимост, при която потребителят на процеса може да измества подписа, за да заобиколи проверките за защита на PAC проверка на подпис, добавени в KB5020805: Как да управлявате промени в протокола Kerberos, свързани с CVE-2022-37967.
Освен това тази актуализация обръща внимание на уязвимост в определени сценарии между гори. За да научите повече за тези уязвимости, посетете CVE-2024-26248 и CVE-2024-29056.
Предприемане на действие
ВАЖЕНСтъпка 1, за да инсталирате актуализацията, издадена на или след 9 април 2024 г., НЯМА да адресира напълно проблемите със защитата в CVE-2024-26248 и CVE-2024-29056 по подразбиране. За да намалите напълно проблема със защитата за всички устройства, трябва да преминете към наложен режим (описан в стъпка 3), след като средата ви е напълно актуализирана.
За да защитите вашата среда и да предотвратите прекъсване на тока, ви препоръчваме следните стъпки:
-
АКТУАЛИЗИРАМ: Домейнови контролери на Windows и клиенти на Windows трябва да се актуализират с актуализация на защитата на Windows, издадена на или след 9 април 2024 г.
-
МОНИТОР: Събитията от проверката ще се виждат в режим на съвместимост , за да се идентифицират устройствата, които не са актуализирани.
-
РАЗРЕШИТЕ: След като режимът на прилагане е напълно разрешен във вашата среда, уязвимостите, описани в CVE-2024-26248 и CVE-2024-29056 , ще бъдат смекчени.
Предварителна информация
Когато работна станция на Windows извършва PAC проверка на входящия поток за удостоверяване Kerberos, тя изпълнява нова заявка (Влизане на мрежов билет) за проверка на билета за услуга. Искането първоначално се препраща към домейнов контролер (DC) на домейна Workstations чрез Netlogon.
Ако акаунтът на услугата и акаунтът на компютъра принадлежат към различни домейни, искането се извършва през необходимите гаранти чрез Netlogon, докато достигне домейна за услуги; В противен случай DC в домейна на акаунтите на компютрите извършва проверката. След това DC извиква центъра за разпространение на ключове (KDC) за проверка на PAC подписите на билета за услуга и изпраща информация за потребителя и устройството обратно към работната станция.
Ако искането и отговорът са препратени в доверие (в случай че акаунтът на услугата и акаунтът на работната станция принадлежат към различни домейни), всеки домейнов контролер в рамките на отдела за сигурност филтрира данните за удостоверяване, които се отнасят за него.
Времева линия на промените
Актуализации се издават по следния начин. Имайте предвид, че този график за издаване може да бъде коригиран, ако е необходимо.
Началната фаза на разполагане започва с актуализациите, издадени на 9 април 2024 г. Тази актуализация добавя ново поведение, което предотвратява увеличаването на привилегиите уязвимости, описани в CVE-2024-26248 и CVE-2024-29056 , но не го налага, освен ако не се актуализират както домейнови контролери на Windows, така и клиенти на Windows в средата.
За да разрешите новото поведение и да намалите уязвимостите, трябва да се уверите, че цялата ви среда на Windows (включително домейнови контролери и клиенти) е актуализирана. Събитията от проверката ще бъдат регистрирани, за да помогнат за идентифицирането на устройства, които не са актуализирани.
Актуализации, издадени през или след януари 2025 г., ще преместят всички домейнови контролери и клиенти на Windows в средата в наложен режим. Този режим ще налага защитено поведение по подразбиране. Съществуващите настройки на ключове от системния регистър, които са били предварително зададени, ще заместят тази промяна в поведението по подразбиране.
Настройките по подразбиране Наложен режим могат да бъдат заместени от администратора, за да се върнат в режим на съвместимост .
Актуализациите на защитата на Windows, издадени през или след април 2025 г., ще премахнат поддръжката за подключовете в системния регистър PacSignatureValidationLevel и CrossDomainFilteringLevel и ще наложат новото защитено поведение. Няма да има поддръжка за режима на съвместимост след инсталирането на актуализацията от април 2025 г.
Потенциални проблеми и смекчавания на последствията
Има потенциални проблеми, които могат да възникнат, включително PAC проверка и грешки при филтриране между гори. Актуализацията на защитата от 9 април 2024 г. включва резервна логика и настройки на системния регистър за намаляване на тези проблеми
Настройки на системния регистър
Тази актуализация на защитата се предлага за устройства с Windows (включително домейнови контролери). Следните ключове от системния регистър, които управляват поведението, трябва да бъдат разположени само на kerberos сървъра, който приема входящо Kerberos удостоверяване и изпълнява PAC проверка.
|
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Value |
PacSignatureValidationLevel |
|
|
Тип данни |
REG_DWORD |
|
|
Данни |
2 |
По подразбиране (съвместимост с непрочетена среда) |
|
3 |
Прилагане |
|
|
Изисква се рестартиране? |
Не |
|
|
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Value |
CrossDomainFilteringLevel |
|
|
Тип данни |
REG_DWORD |
|
|
Данни |
2 |
По подразбиране (съвместимост с непрочетена среда) |
|
4 |
Прилагане |
|
|
Изисква се рестартиране? |
Не |
|
Този ключ от системния регистър може да се разположи както на сървъри на Windows, приемащи входящо Kerberos удостоверяване, така и на всеки домейнов контролер на Windows, който проверява новия поток за влизане на мрежови картони.
|
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Value |
AuditKerberosTicketLogonEvents |
|
|
Тип данни |
REG_DWORD |
|
|
Данни |
1 |
По подразбиране – регистриране на критични събития |
|
2 |
Регистриране на всички събития на Netlogon |
|
|
0 |
Да не се регистрират събития Netlogon |
|
|
Изисква се рестартиране? |
Не |
|
Регистри на събитията
Следните събития за проверка на Kerberos ще бъдат генерирани на Kerberos сървъра, който приема входящо Kerberos удостоверяване. Този Сървър на Kerberos ще извършва PAC проверка, която използва новия поток за влизане на мрежови картони.
|
Регистър на събитията |
Система |
|
Тип събитие |
Информационна |
|
Източник на събитие |
Security-Kerberos |
|
ИД на събитие |
21 |
|
Текст на събитие |
По време на влизане с мрежови картони на Kerberos билетът за услуга за акаунт <акаунт> от домейн <домейн> е направил следните действия от DC <домейнов контролер>. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2262558.> на действие на < |
Това събитие се показва, когато домейнов контролер е предприел нефатални действия по време на поток за влизане на мрежов билет. Към момента се регистрират следните действия:
-
Потребителските SIDs са филтрирани.
-
Идентификаторите на устройства са филтрирани.
-
Сложната самоличност е премахната поради SID филтриране, което не позволява самоличността на устройството.
-
Сложната самоличност е премахната поради SID филтриране, което не позволява името на домейна на устройството.
|
Регистър на събитията |
Система |
|
Тип събитие |
Грешка |
|
Източник на събитие |
Security-Kerberos |
|
ИД на събитие |
22 |
|
Текст на събитие |
По време на влизане с мрежови картони на Kerberos билетът за услуга за акаунт <акаунт> от домейн <домейн> е отказан от DC <DC> поради причините по-долу. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2262558.Причина: <причина> Код на грешка: <код на грешка> |
Това събитие се показва, когато домейнов контролер е отказал заявката за влизане в мрежов билет поради причините, показани в събитието.
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение или грешка |
|
Източник на събитие |
Security-Kerberos |
|
ИД на събитие |
23 |
|
Текст на събитие |
По време на влизане с мрежови картони на Kerberos билетът за услуга за акаунт <account_name> от <domain_name> не можа да бъде препратен към домейнов контролер, за да обслужи искането. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Това събитие се показва като предупреждение, ако PacSignatureValidationLevel AND CrossDomainFilteringLevel не са зададени на Налагане или по-строго. Когато се регистрира като предупреждение, събитието показва, че влизането в network Ticket Flows е контактирало с домейнов контролер или еквивалентно устройство, което не разбира новия механизъм. Удостоверяването е позволено да се върнете към предишното поведение.
-
Това събитие се показва като грешка, ако PacSignatureValidationLevel ИЛИ CrossDomainFilteringLevel е зададено на Налагане или по-строго. Това събитие като "грешка" показва, че потокът за влизане на мрежовия билет се е свързал с домейнов контролер или еквивалентно устройство, което не разбира новия механизъм. Удостоверяването е отказано и не може да се превключи към предишно поведение.
|
Регистър на събитията |
Система |
|
Тип събитие |
Грешка |
|
Източник на събитие |
Netlogon |
|
ИД на събитие |
5842 |
|
Текст на събитие |
Услугата Netlogon се натъкна на неочаквана грешка при обработката на заявка за влизане в мрежовия билет на Kerberos. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2261497. Акаунт за билет за услуга: <акаунт> Домейн на билет за услуга: <домейн> Име на работна станция:> <име на машина Състояние: <код на грешка> |
Това събитие се генерира всеки път, когато Netlogon се натъкне на неочаквана грешка по време на заявка за влизане в мрежов билет. Това събитие се записва, когато AuditKerberosTicketLogonEvents е зададено на (1) или по-нова версия.
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Netlogon |
|
ИД на събитие |
5843 |
|
Текст на събитие |
Услугата Netlogon не успя да препрати искане за влизане в мрежовия билет на Kerberos на домейновия контролер <DC>. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2261497. Акаунт за билет за услуга: <акаунт> Домейн на билет за услуга: <домейн> Име на работна станция:> <име на машина |
Това събитие се генерира всеки път, когато Netlogon не може да завърши влизането с мрежов билет, защото домейнов контролер не е разбрал промените. Поради ограничения в протокола Netlogon клиентът Netlogon не може да определи дали домейновия контролер, с който клиентът Netlogon говори директно, е този, който не разбира промените или е домейнов контролер по верига за препращане, който не разбира промените.
-
Ако домейнът на билета за услуга е същият като домейна на акаунта на машината, вероятно домейновия контролер в регистрационния файл на събитията не разбира потока за влизане на мрежовия билет.
-
Ако домейнът на билета за услуга е различен от домейна на акаунта на машината, един от домейновия контролер по пътя от домейна на акаунта за машината до домейна на акаунта за услугата не разбира потока за влизане на мрежовия билет
Това събитие е изключено по подразбиране. Microsoft препоръчва на потребителите първо да актуализират целия си автопарк, преди да вк люлят събитието.
Това събитие се записва, когато AuditKerberosTicketLogonEvents е зададено на (2).
Често задавани въпроси (ЧЗВ)
Домейнов контролер, който не е актуализиран, няма да разпознае тази нова структура на искане. Това ще доведе до неуспешна проверка на защитата. В режим на съвместимост ще се използва старата структура на заявки. Този сценарий все още е уязвим за CVE-2024-26248 и CVE-2024-29056.
Да. Това е така, защото новият поток за влизане на мрежовите картони може да се наложи да бъде маршрутизиран през домейни, за да достигне до домейна на акаунта на услугата.
PAC проверката може да бъде пропусната при определени обстоятелства, включително, но не само, следните сценарии:
-
Ако услугата има привилегия TCB. По принцип услугите, които се изпълняват в контекста на системния акаунт (например SMB файлови дялове или LDAP сървъри), имат тази привилегия.
-
Ако услугата се изпълнява от планировчика на задачи.
В противен случай PAC проверката се извършва за всички входящи потоци за удостоверяване Kerberos.
Тези CVEs включват локално увеличаване на привилегиите, при което злонамерен или компрометиран акаунт за услуги, който се изпълнява на Windows Workstation, се опитва да повиши привилегиите си за получаване на локални права за администриране. Това означава, че се засяга само Windows Workstation, който приема входящо Kerberos удостоверяване.
