Shrnutí
Aktualizace zabezpečení systému Windows vydané 9. dubna 2024 nebo později řeší chyby zabezpečení týkající se zvýšení oprávnění pomocí ověřovacího protokolu Kerberos PAC. Certifikát PAC (Privilege Attribute Certificate) je rozšíření lístků služby Kerberos. Obsahuje informace o ověřovacím uživateli a jeho oprávněních. Tato aktualizace opravuje chybu zabezpečení, kdy uživatel procesu může zfalšovat podpis, aby obešel kontroly zabezpečení ověřování podpisu PAC přidané v KB5020805: Správa změn protokolu Kerberos souvisejících s CVE-2022-37967.
Další informace o těchto chybách zabezpečení najdete v cve-2024-26248 a CVE-2024-29056.
Provedení akce
DŮLEŽITÉKrok 1 instalace aktualizace vydané 9. dubna 2024 nebo později NEBUDE ve výchozím nastavení plně řešit problémy se zabezpečením v cve-2024-26248 a CVE-2024-29056 . Pokud chcete plně zmírnit problém se zabezpečením všech zařízení, musíte po úplné aktualizaci prostředí přejít do vynuceného režimu (popsaného v kroku 3).
Pokud chcete chránit své prostředí a zabránit výpadkům, doporučujeme následující kroky:
-
AKTUALIZACE: Řadiče domény windows a klienti Systému Windows musí být aktualizovány aktualizací zabezpečení Systému Windows vydanou 9. dubna 2024 nebo později.
-
SLEDOVÁNÍ: Události auditu budou viditelné v režimu kompatibility , aby bylo možné identifikovat zařízení, která nebyla aktualizována.
-
POVOLIT: Po úplném povolení režimu vynucení ve vašem prostředí se zmírní ohrožení zabezpečení popsaná v cve-2024-26248 a CVE-2024-29056 .
Pozadí
Když pracovní stanice s Windows provádí ověřování PAC příchozího toku ověřování Kerberos, provede nový požadavek (přihlášení lístku k síti) k ověření lístku služby. Požadavek se nejprve přes Netlogon předá řadiči domény (DC) domény Workstations.
Pokud účet služby a účet počítače patří do různých domén, požadavek se přenáší přes nezbytné vztahy důvěryhodnosti přes Netlogon, dokud nedosáhne domény služeb. v opačném případě provede ověření řadič domény v doméně účtů počítačů. Řadič domény pak zavolá k ověření podpisů PAC lístku služby a odešle informace o uživatelích a zařízení zpět na pracovní stanici.
Pokud se žádost a odpověď předávají v rámci vztahu důvěryhodnosti (v případě, že účet služby a účet pracovní stanice patří do různých domén), filtruje každý řadič domény v rámci vztahu důvěryhodnosti autorizační data, která se k němu vztahují.
Časová osa změn
Aktualizace se vydávají následujícím způsobem. Mějte na paměti, že tento plán vydávání verzí může být podle potřeby revidován.
Počáteční fáze nasazení začíná aktualizacemi vydanými 9. dubna 2024. Tato aktualizace přidává nové chování, které zabraňuje zvýšení oprávnění ohrožení zabezpečení popsaného v cve-2024-26248 a CVE-2024-29056 , ale nevynucuje je, pokud se neaktualizují řadiče domény Windows i klienti Windows v prostředí.
Pokud chcete povolit nové chování a zmírnit ohrožení zabezpečení, musíte zajistit, aby se aktualizovalo celé prostředí Windows (včetně řadičů domény i klientů). Události auditu se budou protokolovat, aby bylo možné identifikovat zařízení, která nebyla aktualizována.
Aktualizace vydané 15. října 2024 nebo později přesunou všechny řadiče domény a klienty windows v prostředí do režimu vynucení změnou nastavení podklíče registru na PacSignatureValidationLevel=3 a CrossDomainFilteringLevel=4 a ve výchozím nastavení vynucuje zabezpečené chování.
Nastavení Vynuceno ve výchozím nastavení může správce přepsat, aby se vrátil do režimu kompatibility .
Aktualizace zabezpečení windows vydané 8. dubna 2025 nebo později odeberou podporu pro podklíče registru PacSignatureValidationLevel a CrossDomainFilteringLevel a vynutí nové zabezpečené chování. Po instalaci této aktualizace nebude režim kompatibility podporován.
Potenciální problémy a zmírnění rizik
Mohou nastat potenciální problémy, včetně ověřování PAC a selhání filtrování mezi doménovými strukturami. Aktualizace zabezpečení z 9. dubna 2024 zahrnuje záložní logiku a nastavení registru, které pomáhají zmírnit tyto problémy.
Nastavení registru
Tato aktualizace zabezpečení se nabízí zařízením s Windows (včetně řadičů domény). Následující klíče registru, které řídí chování, stačí nasadit pouze na server Kerberos, který přijímá příchozí ověřování kerberos a provádí ověřování PAC.
|
Podklíč registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Hodnota |
PacSignatureValidationLevel |
|
|
Datový typ |
REG_DWORD |
|
|
Data |
2 |
Výchozí (kompatibilita s neopraveným prostředím) |
|
3 |
Vynutit |
|
|
Chcete restartovat? |
Ne |
|
|
Podklíč registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Hodnota |
CrossDomainFilteringLevel |
|
|
Datový typ |
REG_DWORD |
|
|
Data |
2 |
Výchozí (kompatibilita s neopraveným prostředím) |
|
4 |
Vynutit |
|
|
Chcete restartovat? |
Ne |
|
Tento klíč registru lze nasadit na servery Windows, které přijímají příchozí ověřování kerberos, i na jakýkoli řadič domény Windows, který ověřuje nový tok přihlášení lístku k síti.
|
Podklíč registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Hodnota |
AuditKerberosTicketLogonEvents |
|
|
Datový typ |
REG_DWORD |
|
|
Data |
1 |
Výchozí – protokolování kritických událostí |
|
2 |
Protokolování všech událostí Netlogon |
|
|
0 |
Neprotokolovat události Netlogon |
|
|
Chcete restartovat? |
Ne |
|
Protokoly událostí
Na serveru Kerberos, který přijímá příchozí ověřování Kerberos, se vygenerují následující události auditu protokolu Kerberos. Tento server Kerberos bude provádět ověřování PAC, které používá nový tok přihlášení k síťovému lístku.
|
Protokol událostí |
Systém |
|
Typ události |
Informační |
|
Zdroj události |
Security-Kerberos |
|
ID události |
21 |
|
Text události |
Během přihlášení k síti Kerberos> lístku služby pro účet <z <domény> provedly> řadiče domény <následující akce. Další informace najdete na https://go.microsoft.com/fwlink/?linkid=2262558. |
Tato událost se zobrazí, když řadič domény provedl během toku přihlášení lístku k síti akci, která není závažná. V současné chvíli se protokolují následující akce:
-
Identifikátory SID uživatelů byly filtrovány.
-
Identifikátory SID zařízení byly filtrovány.
-
Složená identita se odebrala kvůli tomu, že filtrování identifikátorů SID nepovoluje identitu zařízení.
-
Složená identita se odebrala kvůli tomu, že filtrování identifikátorů SID nepovoluje název domény zařízení.
|
Protokol událostí |
Systém |
|
Typ události |
Chyba |
|
Zdroj události |
Security-Kerberos |
|
ID události |
22 |
|
Text události |
Během přihlášení k síti Kerberos byl lístek služby pro> účtu <z> domény <doméně zamítnut> řadiče domény <z následujících důvodů. Další informace najdete na https://go.microsoft.com/fwlink/?linkid=2262558. |
Tato událost se zobrazí, když řadič domény zamítl žádost o přihlášení k síťovému lístku z důvodů uvedených v události.
|
Protokol událostí |
Systém |
|
Typ události |
Upozornění nebo chyba |
|
Zdroj události |
Security-Kerberos |
|
ID události |
23 |
|
Text události |
Během přihlášení k síti Kerberos se lístek služby pro <account_name> účtu z <domain_name> domény nepodařilo předat řadiči domény, aby žádost vyhodila. Další informace najdete na https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Tato událost se zobrazí jako upozornění, pokud PacSignatureValidationLevel AND CrossDomainFilteringLevel nejsou nastaveny na vynucování nebo přísnější. Když se zaprotokoluje jako upozornění, událost indikuje, že toky přihlášení k síťovému lístku kontaktovaly řadič domény nebo ekvivalentní zařízení, které novému mechanismu nerozumělo. Ověřování bylo povoleno vrátit se k předchozímu chování.
-
Tato událost se zobrazí jako chyba, pokud je hodnota PacSignatureValidationLevel OR CrossDomainFilteringLevel nastavená na vynucování nebo přísnější. Tato událost jako "chyba" označuje, že tok přihlášení k síťovému lístku kontaktoval řadič domény nebo ekvivalentní zařízení, které novému mechanismu nerozumělo. Ověřování bylo zamítnuto a nemohlo se vrátit k předchozímu chování.
|
Protokol událostí |
Systém |
|
Typ události |
Chyba |
|
Zdroj události |
Netlogon |
|
ID události |
5842 |
|
Text události |
Služba Netlogon zjistila neočekávanou chybu při zpracování požadavku na přihlášení k síti Kerberos. Další informace najdete na https://go.microsoft.com/fwlink/?linkid=2261497. Účet lístku služby:> účtu < Doména lístku služby: <doména> Název pracovní stanice: <název počítače> Stav: <kód chyby> |
Tato událost se generuje vždy, když netlogon během žádosti o přihlášení k síti narazil na neočekávanou chybu. Tato událost se protokoluje, když auditKerberosTicketLogonEvents je nastaven na hodnotu (1) nebo vyšší.
|
Protokol událostí |
Systém |
|
Typ události |
Upozornění |
|
Zdroj události |
Netlogon |
|
ID události |
5843 |
|
Text události |
Službě Netlogon se nepodařilo předat žádost o přihlášení k síťovému lístku Kerberos řadiči domény <> řadiče domény. Další informace najdete na https://go.microsoft.com/fwlink/?linkid=2261497. Účet lístku služby:> účtu < Doména lístku služby: <doména> Název pracovní stanice: <název počítače> |
Tato událost se generuje vždy, když netlogon nemohl dokončit přihlášení k síťovému lístku, protože řadič domény nerozuměl změnám. Z důvodu omezení protokolu Netlogon klient Netlogon nemůže určit, zda řadič domény, se kterým klient Netlogon hovoří přímo, je ten, který nerozumí změnám, nebo zda se jedná o řadič domény v řetězci předávání, který nerozumí změnám.
-
Pokud je doména lístku služby stejná jako doména účtu počítače, je pravděpodobné, že řadič domény v protokolu událostí nerozumí toku přihlášení k síťovému lístku.
-
Pokud se doména lístku služby liší od domény účtu počítače, jeden z řadičů domény na cestě z domény účtu počítače do domény účtu služby nepochopil tok přihlášení k síťovému lístku.
Tato událost je ve výchozím nastavení vypnutá. Microsoft doporučuje, aby uživatelé před zapnutím události nejprve aktualizovali celý svůj vozový park.
Tato událost se protokoluje, když je AuditKerberosTicketLogonEvents nastavená na hodnotu (2).
Nejčastější dotazy
Řadič domény, který není aktualizován, tuto novou strukturu požadavků nerozpozná. To způsobí selhání kontroly zabezpečení. V režimu kompatibility se použije stará struktura požadavků. Tento scénář je stále ohrožen cve-2024-26248 a CVE-2024-29056.
Ano. Je to proto, že nový tok přihlášení k síťovému lístku může být nutné směrovat napříč doménami, aby se dostal k doméně účtu služby.
Ověřování PAC může být za určitých okolností vynecháno, mimo jiné následující scénáře:
-
Pokud má služba oprávnění TCB. Obecně platí, že služby spuštěné v kontextu účtu SYSTEM (například sdílené složky SMB nebo servery LDAP) mají toto oprávnění.
-
Pokud je služba spuštěna z Plánovače úloh.
Jinak se ověřování PAC provádí u všech příchozích toků ověřování kerberos.
Tyto operace CVR zahrnují místní zvýšení oprávnění, kdy se škodlivý nebo ohrožený účet služby spuštěný na pracovní stanici Windows pokusí zvýšit své oprávnění, aby získal práva místní správy. To znamená, že je ovlivněna pouze pracovní stanice Systému Windows, která přijímá příchozí ověřování protokolem Kerberos.
