Регистрационен файл на промените
|
Промяна 1: 19 юни 2023 г.:
|
В тази статия
Резюме
Актуализациите на Windows, издадени на или след 8 ноември 2022 г., адресират заобикаляне на защитата и увеличаване на уязвимостта в привилегиите с преговори за удостоверяване с помощта на слабите преговори за RC4-HMAC.
Тази актуализация ще зададе AES като тип шифроване по подразбиране за сесийни ключове на акаунти, които вече не са маркирани с тип шифроване по подразбиране.
За да помогнете за защитата на вашата среда, инсталирайте актуализациите на Windows, издадени на или след 8 ноември 2022 г., на всички устройства, включително домейнови контролери. Вижте Промяна 1.
За да научите повече за тези уязвимости, вижте CVE-2022-37966.
Откриване на изрично задаване на типове шифроване на сесийни ключове
Може да сте дефинирали изрично типове шифроване на вашите потребителски акаунти, които са уязвими за CVE-2022-37966. Потърсете акаунти, където DES/RC4 е изрично разрешено, но не и AES с помощта на следната заявка на Active Directory:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Настройки на ключ от системния регистър
След инсталиране на актуализациите на Windows, които са с дата на или след 8 ноември 2022 г., следният ключ от системния регистър е наличен за протокола Kerberos:
DefaultDomainSupportedEncTypes
|
Ключ от системния регистър |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Стойност |
DefaultDomainSupportedEncTypes |
|
Тип данни |
REG_DWORD |
|
Стойност на данни |
0x27 (по подразбиране) |
|
Изисква ли се рестартиране? |
Не |
Забележка Ако трябва да промените поддържания тип шифроване по подразбиране за потребител или компютър на Active Directory, добавете ръчно и конфигурирайте ключа на системния регистър, за да зададете новия поддържан тип шифроване. Тази актуализация не добавя автоматично ключа от системния регистър.
Домейнови контролери на Windows използват тази стойност, за да определят поддържаните типове шифроване на акаунти в Active Directory, чиято стойност msds-SupportedEncryptionType е празна или не е зададена. Компютър, на който се изпълнява поддържана версия на операционната система Windows, автоматично задава msds-SupportedEncryptionTypes за този акаунт на машини в Active Directory. Това се базира на конфигурираната стойност на типовете шифроване, които е разрешено да се използва от протокола Kerberos. За повече информация вижте Мрежова защита: Конфигуриране на типове шифроване, разрешени за Kerberos.
Акаунтите на потребителите, акаунтите на услугата, управлявани от група, както и други акаунти в Active Directory нямат автоматично зададена стойност msds-SupportedEncryptionTypes .
За да намерите поддържаните типове шифроване, които можете да зададете ръчно, вижте Флагове на битове за поддържани типове шифроване. За повече информация вижте какво трябва да направите първо, за да подготвите средата и да предотвратите проблеми с удостоверяването Kerberos.
Стойността по подразбиране , 0x27 (DES, RC4, AES сесийни клавиши) е избрана като минималната промяна, необходима за тази актуализация на защитата. Препоръчваме клиентите да зададат стойността на 0x3C за повишена защита, тъй като тази стойност ще позволи както шифровани с AES билети, така и ключове от сесия на AES. Ако клиентите са следвали нашите указания за преминаване към среда само за AES, където RC4 не се използва за протокола Kerberos, препоръчваме на клиентите да зададат стойността на 0x38. Вижте Промяна 1.
Събития на Windows, свързани с CVE-2022-37966
Центърът за разпространение на ключ Kerberos няма силни ключове за акаунта
|
Регистър на събитията |
Система |
|
Тип събитие |
Грешка |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
42 |
|
Текст на събитие |
Центърът за разпространение на ключ Kerberos няма силни ключове за акаунта: име на акаунт. Трябва да актуализирате паролата на този акаунт, за да предотвратите използването на несигурна криптографията. Вижте https://go.microsoft.com/fwlink/?linkid=2210019, за да научите повече. |
Ако откриете тази грешка, вероятно трябва да нулирате паролата си krbtgt, преди да зададете KrbtgtFullPacSingature = 3 или да инсталирате Windows Актуализации издаден на или след 11 юли 2023 г. Актуализацията, която по програмен път позволява режим на изпълнение за CVE-2022-37967, е документирана в следната статия в базата знания на Microsoft:
KB5020805: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37967
За повече информация как да направите това, вижте New-KrbtgtKeys.ps1 тема в уеб сайта на GitHub.
Често задавани въпроси (ЧЗВ) и известни проблеми
Акаунтите, които са маркирани с флаг за явно използване на RC4, са уязвими. Освен това среди, които нямат ключове от сесия на AES в акаунта krbgt, може да бъдат уязвими. За да противослушате на този проблем, следвайте указанията как да идентифицирате уязвимости и да използвате секцията за настройка на ключ от системния регистър , за да актуализирате изрично зададените настройки за шифроване по подразбиране.
Ще трябва да се уверите, че всички ваши устройства имат общ тип шифроване Kerberos. За повече информация относно типовете шифроване Kerberos вижте Дешифриране на селекцията от поддържани типове шифроване kerberos.
Среди без често срещан тип шифроване Kerberos може преди да са функционирали поради автоматично добавяне на RC4 или добавяне на AES, ако RC4 е дезактивиран чрез групови правила от домейнови контролери. Това поведение се е променило с актуализациите, издадени на или след 8 ноември 2022 г. и сега ще следва стриктно това, което е зададено в ключовете от системния регистър, msds-SupportedEncryptionTypes и DefaultDomainSupportedEncTypes.
Ако акаунтът няма зададен msds-SupportedEncryptionTypes или е настроен на 0, домейнови контролери приемат стойност по подразбиране на 0x27 (39) или домейновия контролер ще използва настройката в ключа на системния регистър DefaultDomainSupportedEncTypes.
Ако акаунтът има зададен msds-SupportedEncryptionTypes , тази настройка се спазва и може да се покаже отказ при конфигурирането на често срещан тип шифроване Kerberos, маскиран от предишното поведение на автоматично добавяне на RC4 или AES, което вече не е поведението след инсталиране на актуализации, издадени на или след 8 ноември 2022 г.
За информация как да проверите дали имате често срещан тип шифроване Kerberos, вижте въпрос Как мога да проверя дали всички мои устройства имат често срещан тип шифроване Kerberos?
Вижте предишния въпрос за повече информация защо вашите устройства може да нямат често срещан тип шифроване Kerberos след инсталиране на актуализации, издадени на или след 8 ноември 2022 г.
Ако вече сте инсталирали актуализации, издадени на или след 8 ноември 2022 г., можете да откриете устройства, които нямат често срещан тип шифроване Kerberos, като погледнете в регистъра на събитията за Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, което идентифицира несвързани типове шифроване между клиенти на Kerberos и отдалечени сървъри или услуги.
Инсталирането на актуализации, издадени на или след 8 ноември 2022 г. на клиенти или сървъри за роли, които не са на домейнов контролер, не трябва да засяга удостоверяването kerberos във вашата среда.
За да смекчите този известен проблем, отворете команден прозорец като администратор и временно използвайте следната команда, за да настроите ключа на системния регистър KrbtgtFullPacSignature на 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Забележка След като този известен проблем бъде решен, трябва да настроите KrbtgtFullPacSignature на по-висока настройка в зависимост от това, което ще позволи вашата среда. Препоръчваме режимът на прилагане да бъде разрешен веднага щом средата ви е готова.
Следващи стъпкиРаботим върху решение и ще предоставим актуализация в предстоящо издание.
След инсталирането на актуализациите, издадени на или след 8 ноември 2022 г. на вашите домейнови контролери, всички устройства трябва да поддържат AES подписването на билети, както е необходимо, за да бъде съвместимо с втвърдяването на защитата, необходимо за CVE-2022-37967.
Следващи стъпки Ако вече използвате най-актуалния софтуер и фърмуер за вашите устройства, които не са с Windows, и сте проверили, че има често използван тип шифроване, наличен между вашите домейнови контролери на Windows и вашите устройства, които не са с Windows, ще трябва да се свържете с производителя на вашето устройство (OEM) за помощ или да заместите устройствата с такива, които са съвместими.
ВАЖНО Не препоръчваме да използвате заобиколно решение, за да разрешите удостоверяване на несъвместими устройства, тъй като това може да направи средата ви уязвима.
Неподдържаните версии на Windows включват Windows XP, Windows Server 2003, Windows Server 2008 SP2 и Windows Server 2008 R2 SP1 не могат да бъдат достъпни от актуализирани устройства с Windows, освен ако нямате лиценз за ESU. Ако имате лиценз за ESU, ще трябва да инсталирате актуализациите, издадени на или след 8 ноември 2022 г., и да се уверите, че вашата конфигурация има общ тип шифроване, наличен между всички устройства.
Следващи стъпки Инсталирайте актуализации, ако те са налични за вашата версия на Windows и имате приложимия лиценз за ESU. Ако не са налични актуализации, ще трябва да надстроите до поддържана версия на Windows или да преместите приложение или услуга на съвместимо устройство.
ВАЖНО Не препоръчваме да използвате заобиколно решение, за да разрешите удостоверяване на несъвместими устройства, тъй като това може да направи средата ви уязвима.
Този известен проблем е разрешен в актуализации извън лентата, издадени на 17 ноември 2022 г. и 18 ноември 2022 г. за инсталиране на всички домейнови контролери във вашата среда. Не е необходимо да инсталирате актуализация или да правите промени в други сървъри или клиентски устройства във вашата среда, за да решите този проблем. Ако сте използвали заобиколно решение или смекчавания за този проблем, те вече не са необходими и ви препоръчваме да ги премахнете.
За да изтеглите самостоятелния пакет за тези актуализации извън лентата, потърсете kb номера в Каталог на Microsoft Update. Можете ръчно да импортирате тези актуализации в Windows Server Update Services (WSUS) и крайна точка на Microsoft Configuration Manager. За WSUS инструкции вижте WSUS и сайта на каталога. За инструкции относно конфигурацията Manger вижте Импортиране на актуализации от каталога на Microsoft Update.
Забележка Следните актуализации не са достъпни от актуализиране на Windows и няма да се инсталират автоматично.
Кумулативни актуализации:
Забележка Не е необходимо да прилагате предишна актуализация, преди да инсталирате тези кумулативни актуализации. Ако вече сте инсталирали актуализации, издадени на 8 ноември 2022 г., не е нужно да деинсталирате засегнатите актуализации, преди да инсталирате по-късни актуализации, включително изброените по-горе актуализации.
Самостоятелен Актуализации:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (издаден на 18 ноември 2022 г.)
-
Windows Server 2008 SP2: KB5021657
Бележки
-
Ако използвате актуализации само на защитата за тези версии на Windows Server, трябва да инсталирате тези самостоятелни актуализации само за месец ноември 2022 г. Актуализациите само на защитата не са кумулативни и също така ще трябва да инсталирате всички предишни актуализации само на защитата, за да сте напълно актуални. Месечните сборни актуализации са кумулативни и включват актуализации на защитата и всички актуализации на качеството.
-
Ако използвате месечни сборни актуализации, ще трябва да инсталирате самостоятелните актуализации, изброени по-горе, за да решите този проблем, и да инсталирате месечните сборни пакети за актуализация, издадени на 8 ноември 2022 г., за да получите актуализации на качеството за ноември 2022 г. Ако вече сте инсталирали актуализации, издадени на 8 ноември 2022 г., не е нужно да деинсталирате засегнатите актуализации, преди да инсталирате по-късни актуализации, включително изброените по-горе актуализации.
Ако сте проверили конфигурацията на вашата среда и все още срещате проблеми с всяка реализация на Kerberos, която не е на Microsoft, ще ви трябват актуализации или поддръжка от разработчика или производителя на приложението или устройството.
Този известен проблем може да бъде смекчен, като направите едно от следните неща:
-
Задайте msds-SupportedEncryptionTypes побитово или го задайте на текущия 0x27 по подразбиране, за да запазите текущата й стойност. Например:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Задайте msds-SupportEncryptionTypes на 0 , за да позволите на домейнови контролери да използват стойността по подразбиране на 0x27.
Следващи стъпкиРаботим върху решение и ще предоставим актуализация в предстоящо издание.
Речник
Advanced Encryption Standard (AES) е блоков шифър, който замества стандарта за шифроване на данни (DES). AES може да се използва за защита на електронните данни. Алгоритъмът на AES може да се използва за шифроване (шифроване) и дешифриране на информация. Шифроването преобразува данните в неразбираем формуляр, наречен шифъртекст; дешифрирането на текста на шифъра преобразува данните обратно в първоначалния им вид, наречен обикновен текст. AES се използва в симетрична криптография, което означава, че същият ключ се използва за операциите за шифроване и дешифриране. Това е и блоков шифър, което означава, че той работи върху блокове с фиксиран размер на обикновен текст и шифъртекст и изисква размерът на обикновения текст, както и шифърът да бъдат точно кратно на този размер на блока. AES е известен също като алгоритъма за симетрично шифроване Rijndael [FIPS197].
Kerberos е протокол за удостоверяване на компютърна мрежа, който работи на базата на "билети", за да позволи на възлите, комуникиращи по дадена мрежа, да докажат самоличността си една пред друга по сигурен начин.
Услугата Kerberos, която реализира услугите за удостоверяване и предоставяне на билети, зададени в протокола Kerberos. Услугата се изпълнява на компютри, избрани от администратора на областта или домейна; не е наличен на всеки компютър в мрежата. Тя трябва да има достъп до база данни за акаунти за областта, която обслужва. KDCs са интегрирани в ролята на домейнов контролер. Това е мрежова услуга, която предоставя билети на клиентите за използване при удостоверяване на услугите.
RC4-HMAC (RC4) е алгоритъм за симетрично шифроване с променлива дължина на ключа. За повече информация вж. [SCHNEIER] точка 17.1.
Сравнително краткотраен симетричен ключ (криптографски ключ, договорен от клиента и сървъра въз основа на споделена тайна). Продължителността на живота на ключовете на сесията е ограничена от сесията, с която е свързана. Сесийният ключ трябва да е достатъчно силен, за да издържи криптонализа през жизнения цикъл на сесията.
Специален вид билет, който може да се използва за получаване на други билети. Билетът за даване на билет (TGT) се получава след първоначалната размяна на услугата за удостоверяване (AS); след това потребителите не трябва да представят идентификационните си данни, но могат да използват TGT, за да получат следващи билети.
