AKTUALIZOVÁNO 25. 3. 2022

Shrnutí

CHYBA ZABEZPEČENÍ -2021-42287 řeší chybu zabezpečení, která má vliv na certifikát PAC (Kerberos Privilege Attribute Certificate) a umožňuje potenciálním útočníkům zosobnit řadiče domény. Pokud chcete tuto chybu zabezpečení zneužít, může účet ohrožené domény způsobit, že Centrum distribuce klíčů (KDC) vytvoří lístek služby s vyšší úrovní oprávnění, než je úroveň ohroženého účtu. Toho dosáhne tím, že zabrání KDC v identifikaci účtu, pro který je lístek služby vyššího oprávnění.

Vylepšený proces ověřování v aplikaci CVE-2021-42287 přidává nové informace o původním žádajíci do osobních údajů protokolu Kerberos Ticket-Granting Tickets (TGT). Později, když se pro účet vygeneruje lístek služby Kerberos, nový proces ověřování ověří, že účet, který požadoval TGT, je stejný účet, na který odkazuje lístek služby.

Po instalaci aktualizací Windows z 9. listopadu 2021 nebo novějších se do TGT všech účtů domény přičtou i ty, které se dříve rozhodly odmítnout přístupové účty.

Akce

Pokud chcete chránit vaše prostředí a vyhnout se výpadkům, proveďte následující kroky:

  1. Aktualizujte všechna zařízení, která hostí roli řadiče domény služby Active Directory, instalací aktualizace zabezpečení z 9. listopadu 2021 a aktualizace OOB (Out-of-Band) z 14. listopadu 2021. Níže najdete číslo KB OOB pro konkrétní operační systém.

    Operační systém

    Číslo KB

    Windows Server 2016

    5008601

    Windows Server 2019

    5008602

    Windows Server 2012 R2

    5008603

    Windows Server 2012

    5008604

    Windows Server 2008 R2 SP1

    5008605

    Windows Server 2008 SP2

    5008606

  2. Po instalaci aktualizace zabezpečení z 9. listopadu 2021 a aktualizace OOB z 14. listopadu 2021 na všech řadičích domény služby Active Directory po dobu nejméně 7 dnů důrazně doporučujeme povolit režim vynucení na všech řadičích domény služby Active Directory.

  3. Počínaje aktualizací (aktualizovaná) 11. října 2022 bude režim vynucení ve všech řadičích domény Windows bude povinný.

Časování Windows aktualizací

Tyto Windows aktualizace se vydaná ve třech fázích:

  1. Počáteční nasazení – úvod aktualizace a klíč registru PacRequestorEnforcement

  2. Druhé nasazení – odebrání hodnoty PacRequestorEnforcement 0 (možnost zakázat klíč registru)

  3. Fáze vynucení – režim vynucení je povolený. Odebrání klíče registru PacRequestorEnforcement

9. listopadu 2021: Počáteční fáze nasazení

Fáze příprava nasazení začíná aktualizací Windows vydanou 9. listopadu 2021. Tato verze:

  • Přidá ochranu proti cve-2021-42287.

  • Přidá podporu pro hodnotu registru PacRequestorEnforcement , která umožňuje přechod na počáteční fázi vynucení.

Zmírnění se skládá z instalace aktualizací Windows na všech zařízeních, která hostí roli řadiče domény a řadiče domény jen pro čtení .

(Aktualizováno) 12. července 2022: Druhá fáze nasazení

Druhá fáze nasazení začíná aktualizací Windows vydanou 12. července 2022. Tato fáze odebere nastavení PacRequestorEnforcement 0. Nastavení PacRequestorEnforcement na 0 po instalaci této aktualizace bude mít stejný účinek jako nastavení PacRequestorEnforcement na 1. Řadiče domény (DCs) budou v režimu nasazení.

PoznámkaTato fáze není nutná, pokud v prostředí PacRequestorEnforcement nikdy nebyla nastavena na hodnotu 0. Tato fáze pomáhá zajistit, aby zákazníci, kteří nastavili PacRequestorEnforcement na hodnotu 0move na nastavení 1 před fází vynucení.

Poznámka Tato aktualizace předpokládá, že všechny řadiče domény se aktualizují aktualizací 9. listopadu 2021 nebo Windows novější.

(Aktualizováno) 11. října 2022: Fáze prosazování

Verze využíná 11. října 2022 přechází všechny řadiče domény služby Active Directory do fáze vynucení. Fáze vynucení také úplně odebere klíč registru PacRequestorEnforcement . V důsledku toho nebudou Windows, které nainstalovaly aktualizaci z 11. října 2022, kompatibilní s:

  • Řadiče domény, které nenainstaluje aktualizace z 9. listopadu 2021 nebo novějších.

  • Řadiče domény, které nainstalovaly aktualizace z 9. listopadu 2021 nebo novější, ale ještě nenainstalovaly aktualizaci z 12. července 2022 a mají hodnotu registru PacRequestorEnforcement 0.

Ale Windows domény, které nainstalovaly aktualizaci z 11. října 2022, zůstanou kompatibilní s:

  • Windows domény, které mají nainstalované aktualizace 11. října 2022 nebo novější

  • Řadiče domény okna, které nainstalovaly aktualizace z 9. listopadu 2021 nebo novější a mají hodnotu PacRequestorEnforcement nebo 1 nebo 2

Informace o klíči registru

Po instalaci ochrany pod protokolem CVE-2021-42287 v aktualizacích Windows vydaných od 9. listopadu 2021 do 14. června 2022 bude k dispozici následující klíč registru:

Podklíč registru

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Hodnota

PacRequestorEnforcement

Datový typ

REG_DWORD

Data

1: Přidejte novou smlouvu PAC uživatelům, kteří se ověřují pomocí řadiče domény služby Active Directory s nainstalovanými aktualizacemi z 9. listopadu 2021 nebo novějších. Při ověřování, pokud má uživatel nový pac, je pac ověřený. Pokud uživatel nový pac nemá, neprochádí se žádná další akce. Řadiče domény služby Active Directory v tomto režimu jsou ve fázi nasazení.

2: Přidejte novou smlouvu PAC uživatelům, kteří se ověřují pomocí řadiče domény služby Active Directory s nainstalovanými aktualizacemi z 9. listopadu 2021 nebo novějších. Při ověřování, pokud má uživatel nový pac, je pac ověřený. Pokud uživatel nemá nový pac, ověřování se zamítá. Řadiče domény služby Active Directory v tomto režimu jsou ve fázi vynucení.

0: Zakáže klíč registru. Nedoporučuje se. Řadiče domény služby Active Directory v tomto režimu jsou ve fázi Zakázáno. Tato hodnota nebude existovat po aktualizaci 12. července 2022 nebo novější.

Důležité Nastavení 0 není kompatibilní s nastavením 2. Při použití obou nastavení v doménové struktuře může dojít k občasné chybě. Pokud se použije nastavení 0, doporučujeme, abyste před přechodem na nastavení 2 (režim vynucení) přechodu na hodnotu 0 (Zakázat) na nastavení 1 (Nasazení) alespoň týden.

Výchozí hodnota

1 (pokud není nastavený klíč registru)

Je potřeba restartovat počítač?

Ne

Události auditování

9. listopadu 2021 Windows přidá nové protokoly událostí.

PAC bez atributů

KDC narazí na TGT bez vyrovnávací paměti atributu PAC. Je pravděpodobné, že druhá KDC v protokolech neobsahuje aktualizaci nebo je v zakázaném režimu.

Protokol událostí

Systém

Typ události

Upozornění

Zdroj události

Kdcsvc

ID události

35

Text události

Centrum distribuce klíčů (KDC) narazilo na lístek pro udělování lístků (TGT) z jiného KDC ("<KDC Name>"), který neobsahuje pole atributů PAC. 

Lístek bez smlouvy PAC

KDC narazíte na lístek TGT nebo jiný důkaz bez PAC. Tím zabráníte tomu, aby KDC vynucuje kontroly zabezpečení na lístku.

Protokol událostí

Systém

Typ události

Upozornění během fáze nasazení

Chyba během fáze vynucení

Zdroj události

Kdcsvc

ID události

36

Text události

Centrum distribuce klíčů (KDC) narazilo na lístek, který neobsahuje pac při zpracování žádosti o jiný lístek. To znemožňovalo spuštění kontrol zabezpečení a mohlo by to otevřít chyby zabezpečení. 

Klient: <Název domény>\<Uživatelské jméno>

Lístek pro: <Název služby>

Lístek bez requestoru

KDC narazíte na lístek TGT nebo jiný důkaz bez vyrovnávací paměti pac requestor. Je pravděpodobné, že KDC, která je vytvořená v pacikonu, neobsahuje aktualizaci nebo je v zakázaném režimu.

PoznámkaDůležité informace o události 37 najdete v části Známé problémy.

Protokol událostí

Systém

Typ události

Upozornění během fáze nasazení

Chyba během fáze vynucení

Zdroj události

Kdcsvc

ID události

37

Text události

Centrum distribuce klíčů (KDC) narazilo na lístek, který při zpracování žádosti o jiný lístek neobsahuje informace o účtu, který si lístek vyžádal. To znemožňovalo spuštění kontrol zabezpečení a mohlo by to otevřít chyby zabezpečení. 

Lístek PAC vytvořený: <název KDC>

 Klient: <Název domény>\<Název klienta>

Lístek pro: <Název služby>

Neshoda žádající

Služba KDC narazíte na lístek TGT nebo jiný doklad a účet, který požadoval lístek TGT nebo evidence, neodpovídá účtu, pro který je lístek služby vytvořen.

Protokol událostí

Systém

Typ události

Chyba

Zdroj události

Kdcsvc

ID události

38

Text události

Centrum distribuce klíčů (KDC) narazilo na lístek, který obsahoval nekonzistentní informace o účtu, který si lístek vyžádal. To může znamenat, že účet byl od vydání lístku přejmenován, což mohlo být součástí pokusu o zneužití. 

Lístek PAC vytvořený: <název Kdc>

Klient: <Název domény>\<Uživatelské jméno>

Lístek pro: <Název služby>

Vyžádání SID účtu ze služby Active Directory: <SID>

Požadování sidu účtu z ticketu: <SID>

Známé problémy

Příznak

Řešení

Po instalaci aktualizací Windows vydaných 9. listopadu 2021 nebo novějších na řadičích domény se některým zákazníkům může po určitém nastavení hesla nebo změně operací, například:

  • Aktualizace nebo oprava CNO nebo VCO clusteru s podporou převzetí služeb při selhání

  • Resetování hesla uživatele z konzoly Uživatelé a počítače služby Active Directory (dsa.msc)

  • Vytvoření nového uživatele z konzoly Uživatelé a počítače služby Active Directory (dsa.msc)

  • Změna hesla pro zařízení připojená k doméně třetích stran

Pokud po instalaci aktualizací Windows vydaných 9. listopadu 2021 nebo novějších týden nevidíte ID události 37 a PacRequestorEnforcement je buď "1" nebo "2", vaše prostředí to nemá vliv.

Pokud nastavíte PacRequestorEnforcement = 1, id události 37 se zaprotokoluje jako upozornění, ale žádosti o změnu hesla budou úspěšné a nebudou mít vliv na uživatele.

Pokud nastavíte PacRequestorEnforcement = 2, žádosti o změnu hesla se nezdaří a také se nezdaří operace uvedené výše.

Microsoft tento problém prošetřuje. Mezitím se dočasně vyhněte nastavení PacRequestorEnforcement = 2 v ovlivněných prostředích.

Časté dotazy

Otázka: Co se stane, když mám kombinaci aktualizovaných a ne aktualizovaných řadičů domény služby Active Directory?

A1. Kombinace řadičů domény, které se aktualizují a ne aktualizují, ale mají výchozí hodnotu klíče registru PacRequestorEnforcement 1, jsou vzájemně kompatibilní. Microsoft ale důrazně doporučuje, aby se řadiče domény aktualizovaly a ne aktualizovaly v prostředí.

Otázka: Co se stane, když mám kombinaci řadičů domény služby Active Directory s různými hodnotami PacRequestorEnforcement?

A2. Kombinace řadičů domény s hodnotami PacRequestorEnforcement 0 a 1 je vzájemně kompatibilní. Kombinace řadičů domény s hodnotami PacRequestorEnforcement 1 a 2 je vzájemně kompatibilní. Kombinace řadičů domény s hodnotami PacRequestorEnforcement 0 a 2 není vzájemně kompatibilní a může způsobit občasné chyby. Další podrobnosti najdete v části Informace o klíči registru.

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×