Обобщена информация
Актуализациите от 11 януари 2022 г. Windows актуализации и по-Windows актуализации добавят защити за CVE-2022-21913.
След като инсталирате актуализациите на Windows 11 януари 2022 г., Windows или по-нови актуализации на Windows, шифроването на стандарта за разширено шифроване (AES) ще бъде зададено като предпочитан метод за шифроване на клиенти на Windows, когато използвате наследения протокол за локалния орган за защита (Правила за домейна) (MS-LSAD) за операции с пароли за надеждни домейни, които се изпращат по мрежа. Това е вярно само ако AES шифроването се поддържа от сървъра. Ако AES шифроването не се поддържа от сървъра, системата ще позволи отстъпване към наследеното RC4 шифроване.
Промените в CVE-2022-21913 са специфични за протокола MS-LSAD. Те са независими от други протоколи. MS-LSAD използва блокиране на съобщения на сървъра (SMB) по извикване на отдалечена процедура
(RPC) и наименувани тръби. Въпреки че SMB също поддържа шифроване, то не е разрешено по подразбиране. По подразбиране промените в CVE-2022-21913 са разрешени и предоставят допълнителна защита в слоя LSAD. Не се изискват допълнителни промени в конфигурацията след инсталирането на защитите за АКТУАЛИЗАЦИИ НА CVE-2022-21913, които са включени в актуализациите от 11 януари 2022 г., Windows и по-нови актуализации на Windows на всички поддържани версии на Windows. Неподдържаните версии на Windows трябва да бъдат прекратени или надстроени до поддържана версия.
Забележка CVE-2022-21913 променя само начина, по който паролите за сигурност се шифроват при пренасяне, когато използвате определени API на протокола MS-LSAD и по-конкретно не променяте начина, по който паролите се съхраняват в покой. За повече информация как паролите са шифровани в покой в Active Directory и локално в SAM базата данни (системния регистър), вижте Технически преглед на паролите.
Допълнителна информация
Промени, направени до 11 януари 2022 г., актуализации
-
Обектен модел на правилата
Актуализациите променят структурата на обекта на правилата на протокола, като добавят нов метод на отворени правила, който позволява на клиента и сървъра да споделят информация за поддръжката на AES.Стар метод с помощта на RC4
Нов метод с помощта на AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
За пълен списък на opnums на протокола MS-LSAR вижте [MS-LSAD]: Събитияза обработка на съобщения и правила за секвениране .
-
Модел на обекта "Надежден домейн"
Актуализациите променят шаблона за създаване на обект на надежден домейн на протокола, като добавят нов метод за създаване на доверие, което ще използва AES за шифроване на данни за удостоверяване.
Api на LsaCreateTrustedDomainEx сега ще предпочете новия метод, ако клиентът и сървърът са актуализирани и се връщат към по-стария метод в противен случай.
Стар метод с помощта на RC4
Нов метод с помощта на AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Актуализациите променят модела на набора от обекти на надежден домейн на протокола, като добавят два нови класа надеждна информация към методите LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Можете да зададете информация за обекта с надежден домейн по следния начин.
Стар метод с помощта на RC4
Нов метод с помощта на AES
LsarSetInformationTrustedDomain (Opnum 27) заедно с TrustedDomainAuthInformationInternal или TrustedDomainFullInformationInternal (притежава шифрована парола за сигурност, която използва RC4)
LsarSetInformationTrustedDomain (Opnum 27) заедно с TrustedDomainAuthInformationInternalAes или TrustedDomainFullInformationAes (държи шифрована парола за сигурност, която използва AES)
LsarSetTrustedDomainInfoByName (Opnum 49) заедно с TrustedDomainAuthInformationInternal или TrustedDomainFullInformationInternal (притежава шифрована парола за сигурност, която използва RC4 и всички други атрибути)
LsarSetTrustedDomainInfoByName (Opnum 49) заедно с TrustedDomainAuthInformationInternalAes или TrustedDomainFullInformationInternalAes (притежава шифрована парола за сигурност, която използва AES и всички други атрибути)
Как работи новото поведение
Съществуващият метод LsarOpenPolicy2 обикновено се използва за отваряне на контекстен манипулатор на RPC сървъра. Това е първата функция, която трябва да бъде извикана, за да се свържете с базата данни за отдалечен протокол на локалния орган за защита (правила за домейни). След като инсталирате тези актуализации, методът LsarOpenPolicy2 се замества от новия метод LsarOpenPolicy3.
Актуализиран клиент, който се обажда на API на LsaOpenPolicy, сега ще се обади първо на метода LsarOpenPolicy3. Ако сървърът не е актуализиран и не приложи метода LsarOpenPolicy3, клиентът се връща към метода LsarOpenPolicy2 и използва предишните методи, които използват RC4 шифроване.
Актуализираният сървър ще върне нов бит в отговора на метода LsarOpenPolicy3, както е дефинирано в LSAPR_REVISION_INFO_V1. За повече информация вижте разделите "Използване на шифроване на AES" и "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" в MS-LSAD.
Ако сървърът поддържа AES, клиентът ще използва новите методи и нови класове информация за следващите надеждни операции за домейн "създаване" и "задаване". Ако сървърът не върне този флаг или клиентът не е актуализиран, клиентът ще се върне към използването на предишните методи, които използват RC4 шифроване.
Регистриране на събития
Актуализациите от 11 януари 2022 г. добавят ново събитие към регистрационния файл на събитията на защитата, за да помогнат за идентифициране на устройства, които не са актуализирани, и за подобряване на защитата.
Стойност |
Значение |
---|---|
Източник на събитие |
Microsoft-Windows-Security |
ИД на събитие |
6425 |
Ниво |
Информация |
Текст на съобщение за събитие |
Мрежовият клиент е използвал наследен RPC метод за промяна на информацията за удостоверяване на надежден обект на домейн. Информацията за удостоверяването е шифрована с наследен алгоритъм за шифроване. Обмислете надстройване на клиентската операционна система или приложение, за да използвате най-новата и по-защитена версия на този метод. Надежден домейн:
Модифицирано от:
Адрес на клиентската мрежа: За повече информация отидете на https://go.microsoft.com/fwlink/?linkid=2161080. |
Често задавани въпроси (ЧЗВ)
В1: Какви сценарии задействат понички от AES към RC4?
A1: Ако сървърът или клиентът не поддържат AES, възниква по-малко.
В2: Как мога да определя дали шифроването с RC4 или AES шифроването е договорено?
A2: Актуализираните сървъри ще регистрират събитие 6425, когато се използват стари методи, които използват RC4.
В3: Мога ли да изисквам AES шифроване на сървъра и бъдещите актуализации Windows програмно налагат използването на AES?
A3: В момента няма наличен режим на изпълнение. Възможно е обаче да има и в бъдеще, въпреки че такава промяна не е планирана.
В4: Клиентите на други доставчици поддържат ли защити за CVE-2022-21913, за да договорят AES, когато се поддържат от сървъра? Трябва ли да се свържа с отдела за поддръжка на Microsoft или с екипа за поддръжка на други доставчици, за да се занимая с този въпрос?
A4: Ако устройство или приложение на друг потребител не използва протокола MS-LSAD, това не е важно. Други доставчици, които прилагат протокола MS-LSAD, може да изберат да внедлят този протокол. За повече информация се обърнете към доставчика от друг доставчик.
В5: Трябва ли да бъдат направени допълнителни промени в конфигурацията?
A5: Не са необходими допълнителни промени в конфигурацията.
В6: Какво използва този протокол?
A6: Протоколът MS-LSAD се използва от много Windows компоненти, включително Active Directory и инструменти, като например конзолата за домейни и гарати на Active Directory. Приложенията може също да използват този протокол чрез API на библиотека на advapi32, като например LsaOpenPolicy или LsaCreateTrustedDomainEx.