KB5008380 – godkendelsesopdateringer (CVE-2021-42287)

Sammendrag

CVE-2021-42287 løser en sikkerhedsrisiko, der påvirker Kerberos Privilege Attribute Certificate (PAC) og gør det muligt for potentielle hackere at repræsentere domænecontrollere. For at udnytte denne sikkerhedsrisiko kan en kompromitteret domænekonto medføre, at Nøgledistributionscenter (KDC) opretter en servicebillet med et højere rettighedsniveau end den kompromitterede konto. Det gøres ved at forhindre KDC i at identificere, hvilken konto den højere rettighedstjenestebillet er til.

Den forbedrede godkendelsesproces i CVE-2021-42287 tilføjer nye oplysninger om den oprindelige anmoder til pacs af Kerberos Ticket-Granting Billetter (TGT). Senere, når der genereres en Kerberos-tjenestebillet til en konto, bekræfter den nye godkendelsesproces, at den konto, der anmodede om TGT, er den samme konto, der refereres til i servicebilletten.

Når du har installeret Windows-opdateringer dateret d. 9. november 2021 eller nyere, føjes PACs til TGT for alle domænekonti, også dem, der tidligere har valgt at afvise PACs.

Gør noget

For at beskytte dit miljø og undgå afbrydelser skal du udføre følgende trin:

Opdater alle enheder, der er vært for rollen som Active Directory-domænecontroller, ved at installere sikkerhedsopdateringen fra 9. november 2021 og OOB-opdateringen (out-of-band) fra den 14. november 2021. Find OOB KB-nummeret for dit specifikke operativsystem nedenfor.

Operativsystem	KB-nummer
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Når du har installeret sikkerhedsopdateringen fra den 9. november 2021 og OOB-opdateringen fra 14. november 2021 på alle Active Directory-domænecontrollere i mindst 7 dage, anbefaler vi på det kraftigste, at du aktiverer gennemtvingelsestilstand på alle Active Directory-domænecontrollere.
Fra og med opdateringen (opdateret) 11. oktober 2022 i håndhævelsesfasen vil gennemtvingelsestilstanden være aktiveret på alle Windows-domænecontrollere og vil være påkrævet.

Timing af Windows-opdateringer – (opdateret 31-01-23)

Disse Windows Opdateringer frigives i tre faser:

Indledende installation – Introduktion til opdateringen samt registreringsdatabasenøglen PacRequestorEnforcement
Anden installation – Fjernelse af PacRequestorEnforcement-værdien på 0 (mulighed for at deaktivere registreringsdatabasenøglen)
Håndhævelsesfase – Gennemtvingelsestilstand er aktiveret. Denne fase udfaser PacRequestorEnforcement-nøglen og læser den ikke længere

9. november 2021: Indledende installationsfase

Den indledende installationsfase starter med Windows-opdateringen, der blev udgivet d. 9. november 2021. Denne version:

Tilføjer beskyttelse mod CVE-2021-42287
Tilføjer understøttelse af registreringsdatabaseværdien PacRequestorEnforcement , som giver dig mulighed for at skifte til håndhævelsesfasen tidligt

Afhjælpning består af installation af Windows-opdateringer på alle enheder, der er vært for rollen som domænecontroller, og skrivebeskyttede domænecontrollere (RODCs).

12. juli 2022: Anden installationsfase

Den anden installationsfase starter med Windows-opdateringen, der blev udgivet d. 12. juli 2022. Denne fase fjerner PacRequestorEnforcement-indstillingen på 0. Hvis du angiver PacRequestorEnforcement til 0, når denne opdatering er installeret, har det samme effekt som at indstille PacRequestorEnforcement til 1. Domænecontrollerne (DCs) vil være i installationstilstand.

Bemærk Denne fase er ikke nødvendig, hvis PacRequestorEnforcement aldrig blev indstillet til 0 i dit miljø. Denne fase er med til at sikre, at kunder, der indstiller PacRequestorEnforcement til 0, går til indstilling 1 før håndhævelsesfasen.

Bemærk! Denne opdatering forudsætter, at alle domænecontrollere opdateres med Windows-opdateringen fra d. 9. november 2021 eller nyere.

11. oktober 2022: Håndhævelsesfase – (opdateret 31-01-23)

11. oktober 2022-versionen overgår alle Active Directory-domænecontrollere til håndhævelsesfasen. Håndhævelsesfasen fraråder PacRequestorEnforcement-nøglen og læser den ikke længere. Derfor vil Windows-domænecontrollere, der har installeret 11. oktober 2022-opdateringen, ikke længere være kompatible med:

Domænecontrollere, der ikke installerede opdateringerne fra 9. november 2021 eller nyere.
Domænecontrollere, der har installeret opdateringerne fra d. 9. november 2021 eller nyere, men som endnu ikke har installeret opdateringen fra den 12. juli 2022, og som har registreringsdatabaseværdien PacRequestorEnforcement på 0.

Windows-domænecontrollere, der har installeret opdateringen fra 11. oktober 2022, forbliver dog kompatible med:

Windows-domænecontrollere, der har installeret opdateringerne fra den 11. oktober 2022 eller nyere
Windows-domænecontrollere, der har^{installeret 9.} november 2021 eller nyere opdateringer og har en PacRequestorEnforcement-værdi eller enten 1 eller 2

Oplysninger om registreringsdatabasenøgle

Når du har installeret CVE-2021-42287-beskyttelse i Windows-opdateringer, der er udgivet mellem 9. november 2021 og 14. juni 2022, vil følgende registreringsdatabasenøgle være tilgængelig:

Undernøgle i registreringsdatabasen	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Værdi	PacRequestorEnforcement
Datatype	REG_DWORD
Data	1: Føj den nye PAC til brugere, der har godkendt ved hjælp af en Active Directory-domænecontroller, der har installeret opdateringerne fra d. 9. november 2021 eller nyere. Hvis brugeren har den nye PAC, valideres PAC ved godkendelse. Hvis brugeren ikke har den nye PAC, udføres der ingen yderligere handling. Active Directory-domænecontrollere i denne tilstand er i installationsfasen. 2: Føj den nye PAC til brugere, der har godkendt ved hjælp af en Active Directory-domænecontroller, der har installeret opdateringerne fra 9. november 2021 eller nyere. Hvis brugeren har den nye PAC, valideres PAC ved godkendelse. Hvis brugeren ikke har den nye PAC, nægtes godkendelsen. Active Directory-domænecontrollere i denne tilstand er i gennemtvingelsesfasen. 0: Deaktiverer registreringsdatabasenøglen. Anbefales ikke. Active Directory-domænecontrollere i denne tilstand er i deaktiveret fase. Denne værdi findes ikke efter opdateringerne d. 12. juli 2022 eller nyere. Vigtigt Indstilling 0 er ikke kompatibel med indstilling 2. Der kan opstå periodiske fejl, hvis begge indstillinger bruges i en skov. Hvis indstilling 0 bruges, anbefaler vi, at du skifter 0 (Deaktiver) til indstilling 1 (installation) i mindst en uge, før du skifter til indstilling 2 (gennemtvingelsestilstand).
Standard	1 (når registreringsdatabasenøglen ikke er angivet)
Er det nødvendigt at genstarte?	Nej

Overvågningshændelser

Windows-opdateringen fra 9. november 2021 tilføjer også nye hændelseslogge.

PAC uden attributter

KDC støder på en TGT uden PAC-attributbufferen. Det er sandsynligt, at den anden KDC i logfilerne ikke indeholder opdateringen eller er i deaktiveret tilstand.

Hændelseslog	System
Hændelsestype	Advarsel
Hændelseskilde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Hændelses-id	35
Hændelsestekst	Nøgledistributionscentret (KDC) fandt en TGT (ticket-granting-ticket) fra en anden KDC ("<KDC Name>"), der ikke indeholder et PAC-attributterfelt.

Billet uden PAC

KDC støder på en TGT eller anden bevisbillet uden pac. Dette forhindrer, at KDC gennemtvinger sikkerhedskontroller på billetten.

Hændelseslog	System
Hændelsestype	Advarsel under installationsfasen Fejl under gennemtvingelsesfase
Hændelseskilde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Hændelses-id	36
Hændelsestekst	Nøgledistributionscentret (KDC) fandt en billet, der ikke indeholdt en PAC under behandling af en anmodning om en anden billet. Dette forhindrede sikkerhedskontroller i at køre og kunne åbne sikkerhedsrisici. Klient: <domænenavn>\<brugernavn> Billet til: <tjenestenavn>

Billet uden anmoder

KDC støder på en TGT- eller anden bevisbillet uden PAC Requestor-bufferen. Det er sandsynligt, at den KDC, der konstruerede PAC'en, ikke indeholder opdateringen eller er i deaktiveret tilstand.

Bemærk Se afsnittet Kendte problemer for at få vigtige oplysninger om Hændelse 37.

Hændelseslog	System
Hændelsestype	Advarsel under installationsfasen Fejl under gennemtvingelsesfase
Hændelseskilde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Hændelses-id	37
Hændelsestekst	Nøgledistributionscentret (KDC) stødte på en billet, der ikke indeholdt oplysninger om den konto, der anmodede om billetten under behandling af en anmodning om en anden billet. Dette forhindrede sikkerhedskontroller i at køre og kunne åbne sikkerhedsrisici. Ticket PAC konstrueret af: <KDC Name> Klient: <domænenavn>\<> Billet til: <tjenestenavn>

Uoverensstemmelse mellem anmodningsanmodninger

KDC støder på en TGT eller anden bevisbillet, og den konto, der anmodede om TGT eller bevisbilletten, stemmer ikke overens med den konto, servicebilletten er bygget til.

Hændelseslog	System
Hændelsestype	Fejl
Hændelseskilde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Hændelses-id	38
Hændelsestekst	Nøgledistributionscentret (KDC) fandt en billet, der indeholdt inkonsekvente oplysninger om den konto, der anmodede om billetten. Dette kan betyde, at kontoen er blevet omdøbt, siden billetten blev udstedt, hvilket kan have været en del af et forsøg på udnyttelse. Ticket PAC konstrueret af: <Kdc Name> Klient: <domænenavn>\<brugernavn> Billet til: <tjenestenavn> Anmodning om konto-SID fra Active Directory: <SID-> Anmodning om konto-SID fra Ticket: <SID->

Kendte problemer

Symptom	Løsning
Efter installation af Windows-opdateringer, der er udgivet d. 9. november 2021 eller nyere på domænecontrollere (DCs), vil nogle kunder muligvis se det nye overvågningshændelses-id 37 logført efter bestemte adgangskodeindstillinger eller ændre handlinger som f.eks.: Opdater eller reparer failoverklynge CNO eller VCO Nulstille en brugers adgangskode fra Active Directory-brugere og -computere-konsollen (dsa.msc) Opret en ny bruger fra Active Directory-brugere og -computere konsollen (dsa.msc) Skift adgangskode for enheder, der er tilsluttet et domæne fra tredjepart Hvis hændelses-id 37 ikke vises efter installation af Windows-opdateringer, der er udgivet d. 9. november 2021 eller nyere i en uge, og PacRequestorEnforcement enten er '1' eller '2', påvirkes dit miljø ikke. Hvis du angiver PacRequestorEnforcement = 1, logføres hændelses-id 37 som en advarsel, men anmodninger om ændring af adgangskode lykkes og påvirker ikke brugere. Hvis du angiver PacRequestorEnforcement = 2, mislykkes anmodninger om ændring af adgangskoder, og de handlinger, der er angivet ovenfor, mislykkes også.	Dette problem er blevet løst i følgende opdateringer: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10, version 20H2, Windows 10 version 21H1 og Windows 10, version 21H2 – KB5011543 Windows 10, version 1809 og Windows Server 2019 – KB5011551 Windows 10, version 1607 og Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Symptom

Løsning

Efter installation af Windows-opdateringer, der er udgivet d. 9. november 2021 eller nyere på domænecontrollere (DCs), vil nogle kunder muligvis se det nye overvågningshændelses-id 37 logført efter bestemte adgangskodeindstillinger eller ændre handlinger som f.eks.:

Opdater eller reparer failoverklynge CNO eller VCO
Nulstille en brugers adgangskode fra Active Directory-brugere og -computere-konsollen (dsa.msc)
Opret en ny bruger fra Active Directory-brugere og -computere konsollen (dsa.msc)
Skift adgangskode for enheder, der er tilsluttet et domæne fra tredjepart

Hvis hændelses-id 37 ikke vises efter installation af Windows-opdateringer, der er udgivet d. 9. november 2021 eller nyere i en uge, og PacRequestorEnforcement enten er '1' eller '2', påvirkes dit miljø ikke.

Hvis du angiver PacRequestorEnforcement = 1, logføres hændelses-id 37 som en advarsel, men anmodninger om ændring af adgangskode lykkes og påvirker ikke brugere.

Hvis du angiver PacRequestorEnforcement = 2, mislykkes anmodninger om ændring af adgangskoder, og de handlinger, der er angivet ovenfor, mislykkes også.

Dette problem er blevet løst i følgende opdateringer:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10, version 20H2, Windows 10 version 21H1 og Windows 10, version 21H2 – KB5011543
Windows 10, version 1809 og Windows Server 2019 – KB5011551
Windows 10, version 1607 og Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Ofte stillede spørgsmål

Q1 Hvad sker der, hvis jeg har en blanding af Active Directory-domænecontrollere, der opdateres og ikke opdateres?

A1. En blanding af domænecontrollere, der opdateres og ikke opdateres, men som har registreringsdatabasenøgleværdien 1 som standard PacRequestorEnforcement , er kompatible med hinanden. Microsoft fraråder dog på det kraftigste at have domænecontrollere, der opdateres og ikke opdateres i et miljø.

Q2 Hvad sker der, hvis jeg har en blanding af Active Directory-domænecontrollere, der har forskellige PacRequestorEnforcement-værdier?

A2. En blanding af domænecontrollere, der har PacRequestorEnforcement-værdier på 0 og 1, er kompatible med hinanden. En blanding af domænecontrollere, der har PacRequestorEnforcement-værdier på 1 og 2, er kompatible med hinanden. En blanding af domænecontrollere, der har PacRequestorEnforcement-værdier på 0 og 2, er ikke kompatible med hinanden og kan medføre periodiske fejl. Du kan finde flere oplysninger i afsnittet Oplysninger om registreringsdatabasenøgler.