Актуализира
10 април 2023 г.: Актуализира "Трета фаза на разполагане" от 11 април 2023 г. до 13 юни 2023 г. в раздела "Време на актуализациите за адрес CVE-2022-37967".
В тази статия
Резюме
Актуализациите на Windows от 8 ноември 2022 г. адресират заобикаляне на защитата и увеличаване на уязвимостите в привилегиите с подписи privilege Attribute Certificate (PAC). Тази актуализация на защитата обръща внимание на уязвимости в Kerberos, при които атакуващ може цифрово да промени PAC подписите, като повиши техните привилегии.
За да помогнете за защитата на вашата среда, инсталирайте тази актуализация на Windows на всички устройства, включително домейнови контролери на Windows. Всички домейнови контролери във вашия домейн трябва първо да бъдат актуализирани, преди да превключите актуализацията на наложен режим.
За да научите повече за тези уязвимости, вижте CVE-2022-37967.
Предприемане на действие
За да защитите вашата среда и да предотвратите прекъсване на тока, ви препоръчваме да изпълните следните стъпки:
-
АКТУАЛИЗИРАЙТЕ вашите домейнови контролери на Windows с актуализация на Windows, издадена на или след 8 ноември 2022 г.
-
ПРЕМЕСТЕТЕ вашите домейнови контролери на Windows в режим на проверка с помощта на секцията за настройка на ключ от системния регистър .
-
НАБЛЮДАВАйте събитията, подадени по време на режим на проверка, за да защитите вашата среда.
-
РАЗРЕШИТЕРежим на изпълнение за адрес CVE-2022-37967 във вашата среда.
Забележка Стъпка 1 от инсталирането на актуализации, издадени на или след 8 ноември 2022 г., НЯМА да адресира проблемите със защитата в CVE-2022-37967 за устройства с Windows по подразбиране. За да намалите напълно проблема със защитата за всички устройства, трябва да преминете към режим на проверка (описан в стъпка 2), последван от Наложен режим (описан в стъпка 4) възможно най-скоро на всички домейнови контролери на Windows.
Важно От юли 2023 г. режимът на прилагане ще бъде разрешен за всички домейнови контролери на Windows и ще блокира уязвимите връзки от несъвместими устройства. В този момент няма да можете да забраните актуализацията, но можете да се върнете обратно към настройката режим на проверка. Режимът на проверка ще бъде премахнат през октомври 2023 г., както е описано в раздела Време на актуализациите за справяне с уязвимостта в Kerberos CVE-2022-37967 .
Време на актуализациите за адрес CVE-2022-37967
Актуализации ще бъде издаден на етапи: началната фаза за актуализациите, издадени на или след 8 ноември 2022 г., и фазата на прилагане за актуализации, издадени на или след 13 юни 2023 г.
Началната фаза на разполагане започва с актуализациите, издадени на 8 ноември 2022 г. и продължава с по-късните актуализации на Windows до фазата на прилагане. Тази актуализация добавя подписи Kerberos PAC буфер, но не проверява за подписи по време на удостоверяване. По този начин защитеният режим е дезактивиран по подразбиране.
Тази актуализация:
-
Добавя PAC подписи към Kerberos PAC буфера.
-
Добавя мерки за справяне с уязвимостта за заобикаляне на защитата в протокола Kerberos.
Втората фаза на разполагане започва с актуализации, издадени на 13 декември 2022 г. Тези и по-нови актуализации правят промени в протокола Kerberos за проверка на устройства с Windows чрез преместване на домейнови контролери на Windows в режим на проверка.
С тази актуализация всички устройства ще бъдат в режим на проверка по подразбиране:
-
Ако подписът липсва или е невалиден, удостоверяването е разрешено. Освен това ще бъде създаден регистрационен файл за проверка.
-
Ако подписът липсва, повдигнете събитие и разрешете удостоверяването.
-
Ако подписът присъства, проверете го. Ако подписът е неправилен, повдигнете събитие и разрешете удостоверяването.
Актуализациите на Windows, издадени на или след 13 юни 2023 г., ще направят следното:
-
Премахнете възможността да забраните добавянето на PAC подпис, като зададете подключа KrbtgtFullPacSignature със стойност 0.
Актуализациите на Windows, издадени на или след 11 юли 2023 г., ще направят следното:
-
Премахва възможността за задаване на стойност 1 за подключа KrbtgtFullPacSignature.
-
Премества актуализацията в режим на изпълнение (по подразбиране) (KrbtgtFullPacSignature = 3), която може да бъде заместена от администратор с изрична настройка за проверка.
Актуализациите на Windows, издадени на или след 10 октомври 2023 г., ще направят следното:
-
Премахва поддръжката за подключа KrbtgtFullPacSignature на системния регистър.
-
Премахва поддръжката за режим на проверка.
-
За всички билети за услуги без новите PAC подписи удостоверяването ще бъде отказано.
Указания за разполагане
За да разположите актуализациите на Windows от 8 ноември 2022 г. или по-нови актуализации на Windows, изпълнете следните стъпки:
-
АКТУАЛИЗИРАЙТЕ вашите домейнови контролери на Windows с актуализация, издадена на или след 8 ноември 2022 г.
-
ПРЕМЕСТЕТЕ домейнови контролери в режим на проверка с помощта на секцията за настройка на ключ от системния регистър.
-
НАБЛЮДАВАйте събитията, подадени по време на режима на проверка, за да помогнете за защитата на вашата среда.
-
РАЗРЕШИТЕ Режим на изпълнение за адрес CVE-2022-37967 във вашата среда.
СТЪПКА 1: АКТУАЛИЗИРАНЕ
Разположете актуализациите от 8 ноември 2022 г. или по-нови за всички приложими домейнови контролери (DCs) на Windows. След разполагането на актуализацията домейнови контролери на Windows, които са актуализирани, ще имат подписи, добавени към PAC буфера на Kerberos и ще бъдат незащитени по подразбиране (PAC подписът не е проверен).
-
Докато актуализирате, не забравяйте да запазите стойността в системния регистър KrbtgtFullPacSignature в състоянието по подразбиране, докато не се актуализират всички домейнови контролери на Windows.
СТЪПКА 2: ПРЕМЕСТВАНЕ
След като домейнови контролери на Windows са актуализирани, превключете в режим на проверка, като промените стойността krbtgtFullPacSignature на 2.
СТЪПКА 3: НАМИРАНЕ/МОНИТОР
Идентифицирайте областите, за които липсват PAC подписи или имат PAC подписи, които не могат да бъдат валидирани чрез регистрите на събитията, задействани по време на режим на проверка.
-
Уверете се, че функционалното ниво на домейна е зададено на най-малко 2008 или по-голямо, преди да преминете към режим на изпълнение. Преминаването към режим на изпълнение с домейни в функционалното ниво на домейн 2003 може да доведе до неуспешни удостоверявания.
-
Ще се появят събития за проверка, ако домейнът ви не е напълно актуализиран или ако в домейна ви все още съществуват издадени преди това билети за услуги.
-
Продължете да следите за допълнителни регистрирани събития, които показват липсващи PAC подписи или неуспешни проверки на съществуващи PAC подписи.
-
След като целият домейн се актуализира и всички неплатени билети са изтекли, събитията от проверката вече не би трябвало да се показват. След това би трябвало да можете да преминете в режим на изпълнение без грешки.
СТЪПКА 4: РАЗРЕШАВАНЕ
Разрешаване на режим на изпълнение за адрес CVE-2022-37967 във вашата среда.
-
След като всички събития за проверка са разрешени и вече не се показват, преместете вашите домейни в режим на изпълнение, като актуализирате стойността в системния регистър KrbtgtFullPacSignature , както е описано в раздела за настройки на ключове от системния регистър.
-
Ако един билет за услуга има невалиден PAC подпис или липсва PAC подписи, проверката ще бъде неуспешна и ще бъде регистрирано събитие за грешка.
Настройки на ключ от системния регистър
Протокол Kerberos
След инсталиране на актуализациите на Windows, които са с дата на или след 8 ноември 2022 г., следният ключ от системния регистър е наличен за протокола Kerberos:
-
KrbtgtFullPacSignature
Този ключ от системния регистър се използва за затваряне на разполагането на промените в Kerberos. Този ключ от системния регистър е временен и вече няма да се чете след пълната дата на прилагане на 10 октомври 2023 г.Ключ от системния регистър
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Стойност
KrbtgtFullPacSignature
Тип данни
REG_DWORD
Данни
0 – Забранено
1 – Добавят се нови подписи, но не се проверяват. (Настройка по подразбиране)
2 - Режим на проверка. Добавят се нови подписи и се проверяват, ако са налични. Ако подписът липсва или е невалиден, удостоверяването е разрешено и се създават регистрационни файлове за проверка.
3 – Режим на прилагане. Добавят се нови подписи и се проверяват, ако са налични. Ако подписът липсва или е невалиден, отказан е удостоверяване и се създават регистрационни файлове за проверка.
Изисква ли се рестартиране?
Не
Забележка Ако трябва да промените стойността в системния регистър KrbtgtFullPacSignature, добавете ръчно и след това конфигурирайте ключа от системния регистър, за да заместите стойността по подразбиране.
Събития на Windows, свързани с CVE-2022-37967
В режим на проверка можете да намерите една от следните грешки, ако PAC подписите липсват, или са невалидни. Ако този проблем продължава по време на режим на изпълнение, тези събития ще бъдат регистрирани като грешки.
Ако откриете някоя от тези грешки на вашето устройство, вероятно всички домейнови контролери на Windows във вашия домейн не са актуализирани с актуализация на Windows от 8 ноември 2022 г. или по-нова. За да противослушате на проблемите, ще трябва да проучите допълнително домейна си, за да намерите домейнови контролери на Windows, които не са актуални.
Забележка Ако откриете грешка с ИД на събитие 42, вижте KB5021131: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37966.
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
ИД на събитие |
43 |
|
Текст на събитие |
Центърът за разпространение на ключове (KDC) се натъкна на |
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
ИД на събитие |
44 |
|
Текст на събитие |
Центърът за разпространение на ключове (KDC) се натъкна на билет, който не съдържаше пълния PAC подпис. Вижте https://go.microsoft.com/fwlink/?linkid=2210019, за да научите повече. Клиент: област на <>/<име> |
Устройства на други производители, прилагащи протокол Kerberos
Домейни, които имат домейнови контролери на други разработчици, може да виждат грешки в режим на изпълнение.
Домейни с клиенти на други производители може да отнемат повече време, за да бъдат напълно изчистени от събития за проверка след инсталирането на актуализация на Windows от 8 ноември 2022 г. или по-нова.
Свържете се с производителя на устройството (OEM) или доставчика на софтуер, за да определите дали техният софтуер е съвместим с най-новата промяна на протокола.
За информация относно актуализациите на протоколи вж. темата за протокола на Windows на уеб сайта на Microsoft.
Речник
Kerberos е протокол за удостоверяване на компютърна мрежа, който работи на базата на "билети", за да позволи на възлите, комуникиращи по дадена мрежа, да докажат самоличността си една срещу друга по сигурен начин.
Услугата Kerberos, която реализира услугите за удостоверяване и предоставяне на билети, зададени в протокола Kerberos. Услугата се изпълнява на компютри, избрани от администратора на областта или домейна; не е наличен на всеки компютър в мрежата. Тя трябва да има достъп до база данни за акаунти за областта, която обслужва. KDCs са интегрирани в ролята на домейнов контролер. Това е мрежова услуга, която предоставя билети на клиентите за използване при удостоверяване на услугите.
Privilege Attribute Certificate (PAC) е структура, която предава информация, свързана с удостоверяване, предоставена от домейнови контролери (DCs). За повече информация вижте Структура на данните на сертификата за атрибут на привилегия.
Специален вид билет, който може да се използва за получаване на други билети. Билетът за даване на билет (TGT) се получава след първоначалната размяна на услугата за удостоверяване (AS); след това потребителите не трябва да представят идентификационните си данни, но могат да използват TGT, за да получат следващи билети.
