Shrnutí
Aktualizace z 11. ledna 2022 Windows a novější aktualizace Windows ochranu pro chybu CVE-2022-21913.
Po instalaci aktualizací z 11. ledna 2022 Windows Windows novějších aktualizací se šifrování standard AES (Advanced Encryption Standard) (AES) nastaví jako upřednostňovanou metodu šifrování u klientů Windows, když použijete starší protokol MS-LSAD (Local Security Authority) (Domain Policy) (MS-LSAD) pro operace s heslem důvěryhodného objektu domény odesílané přes síť. To platí jenom v případě, že server podporuje šifrování AES. Pokud server nepodporuje šifrování AES, systém povolí záložní verzi staršího šifrování RC4.
Změny v protokolu CVE-2022-21913 jsou specifické pro protokol MS-LSAD. Jsou nezávislé na jiných protokolech. Nástroj MS-LSAD používá při vzdáleném volání procedur blok zprávy serveru (SMB)
(RPC) a pojmenované kanály. I když protokol SMB podporuje šifrování, ve výchozím nastavení není povolený. Ve výchozím nastavení jsou změny v protokolu CVE-2022-21913 povolené a poskytují další zabezpečení ve vrstvě LSAD. Kromě instalace ochrany pro aktualizaci CVE-2022-21913, které jsou zahrnuté v aktualizacích z 11. ledna 2022, Windows Windows novějších verzích aplikace Windows, nejsou potřeba žádné další změny konfigurace. Nepodporované verze Windows by měly být ukončeny nebo upgradovány na podporovanou verzi.
Poznámka:ChybaCVE-2022-21913 upravuje způsob šifrování hesel důvěryhodnosti při přenosu, když používáte specifická rozhraní API protokolu MS-LSAD a konkrétně neupravujete způsob uložení hesel v klidu. Další informace o tom, jak se hesla zašifrují v klidu ve službě Active Directory a místně v databázi SAM (registru), najdete v článku Technické informace o heslech.
Více informací
Změny provedené 11. ledna 2022, aktualizace
-
Objektový vzor zásad
Aktualizace upravujte vzor objektu zásad protokolu přidáním nové metody otevřené zásady, která umožňuje klientovi a serveru sdílet informace o podpoře AES.Starý způsob použití RC4
Nový způsob použití AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Úplný seznam operací protokolu MS-LSAR najdete v tématu [MS-LSAD]: Událostizpracování zpráv a Pravidla řazení .
-
Trusted Domain Object pattern
Aktualizace upravují vzor vytvoření objektu důvěryhodné domény protokolu přidáním nové metody pro vytvoření vztahu důvěryhodnosti, který bude k šifrování ověřovacích dat používat AES.
Rozhraní API LsaCreateTrustedDomainEx teď upřednostní novou metodu, pokud se klient i server aktualizují a v opačném případě se vrátí ke starší metodě.
Starý způsob použití RC4
Nový způsob použití AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Aktualizace upravujte vzor sady objektů důvěryhodné domény protokolu přidáním dvou nových tříd důvěryhodných informací do metod LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Informace o objektu důvěryhodné domény můžete nastavit následujícím způsobem.
Starý způsob použití RC4
Nový způsob použití AES
LsarSetInformationTrustedDomain (Opnum 27) spolu s TrustedDomainAuthInformationInternal nebo TrustedDomainFullInformationInternal (obsahuje šifrované heslo důvěryhodnosti, které používá RC4)
LsarSetInformationTrustedDomain (Opnum 27) spolu s TrustedDomainAuthInformationInternalAes nebo TrustedDomainFullInformationAes (obsahuje šifrované heslo důvěryhodnosti, které používá AES)
LsarSetTrustedDomainInfoByName (Opnum 49) spolu s TrustedDomainAuthInformationInternal nebo TrustedDomainFullInformationInternal (obsahuje šifrované heslo důvěryhodnosti, které používá RC4 a všechny ostatní atributy)
LsarSetTrustedDomainInfoByName (Opnum 49) spolu s TrustedDomainAuthInformationInternalAes nebo TrustedDomainFullInformationInternalAes (obsahuje šifrované heslo důvěryhodnosti, které používá AES a všechny ostatní atributy)
Jak nové chování funguje
Existující metoda LsarOpenPolicy2 se obvykle používá k otevření kontextového úchytu na server RPC. Jedná se o první funkci, která musí být volána, aby se kontaktoval s databází Vzdáleného protokolu místní autority zabezpečení (Zásady domény). Po instalaci těchto aktualizací se metoda LsarOpenPolicy2 nahrazuje novou metodou LsarOpenPolicy3.
Aktualizovaný klient, který volá rozhraní API LsaOpenPolicy, teď nejdřív zavolá metodu LsarOpenPolicy3. Pokud server není aktualizován a neimplementuje metodu LsarOpenPolicy3, klient se vrátí k metodě LsarOpenPolicy2 a použije předchozí metody, které používají šifrování RC4.
Aktualizovaný server vrátí nový bit v odpovědi na metodu LsarOpenPolicy3 definované v LSAPR_REVISION_INFO_V1. Další informace najdete v částech Použití šifry AES a LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES v ms-LSAD.
Pokud server podporuje AES, použije klient nové metody a nové třídy informací pro následné operace vytvoření a nastavení důvěryhodné domény. Pokud server nevrátí tento příznak nebo klient není aktualizován, klient se vrátí k předchozím metodám, které používají šifrování RC4.
Protokolování událostí
Aktualizace z 11. ledna 2022 přidávají do protokolu událostí zabezpečení novou událost, která pomáhá identifikovat zařízení, která nejsou aktualizována, a zlepšit zabezpečení.
|
Hodnota |
Význam: |
|---|---|
|
Zdroj události |
Microsoft-Windows-Security |
|
ID události |
6425 |
|
Úroveň |
Informace |
|
Text zprávy události |
Síťový klient použil starší metodu RPC k úpravě ověřovacích informací u objektu důvěryhodné domény. Ověřovací informace byly zašifrované starším šifrovacím algoritmem. Zvažte upgrade klientského operačního systému nebo aplikace na nejnovější a bezpečnější verzi této metody. Důvěryhodná doména:
Změnil(a):
Síťová adresa klienta: Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2161080. |
Časté otázky
Otázka č. 1: Jaké scénáře aktivují přechod z AES na RC4?
A1: Pokud server nebo klient nepodporuje AES, dojde k přechodu na nižší verzi.
Otázka č. 2: Jak můžu zjistit, jestli bylo vyjednáno šifrování RC4 nebo šifrování AES?
A2: Aktualizované servery zachytá událost 6425 při použití starších metod, které používají RC4.
Otázka č. 3: Můžu vyžadovat šifrování AES na serveru a budoucí aktualizace Windows programově vynucovat pomocí AES?
A3: V současné době není dostupný žádný režim vynucení. V budoucnu ale může být, i když žádná taková změna není naplánovaná.
Otázka č. 4: Podporují klienti třetích stran ochranu pro protokol CVE-2022-21913, aby vyjednali AES, pokud je server podporuje? Mám se s touto otázkou obrátit na podporu Microsoftu nebo na tým podpory třetí strany?
A4: Pokud zařízení nebo aplikace jiného výrobce protokol MS-LSAD nepoužité, není to důležité. Dodavatelé třetích stran, kteří implementují protokol MS-LSAD, se můžou rozhodnout implementovat tento protokol. Další informace získáte od jiného dodavatele.
Otázka 5: Je třeba provést nějaké další změny konfigurace?
A5: Nejsou potřeba žádné další změny konfigurace.
Otázka č. 6: Co používá tento protokol?
A6: Protokol MS-LSAD používá mnoho Windows, včetně služby Active Directory a nástrojů, jako je konzola Domény a vztahy důvěryhodnosti služby Active Directory. Aplikace můžou tento protokol používat také prostřednictvím rozhraní API knihovny advapi32, jako je LsaOpenPolicy nebo LsaCreateTrustedDomainEx.
