Oversigt
Opdateringerne for 11. januar 2022 Windows opdateringer og senere Windows føjer beskyttelse til CVE-2022-21913.
Når du har installeret AES (Advanced Encryption Standard)-opdateringer fra d. 11. januar 2022, Windows-opdateringer eller nyere Windows-opdateringer, angives AES (Advanced Encryption Standard)-kryptering (AES) som den foretrukne krypteringsmetode på Windows-klienter, når du bruger den ældre protokol (Local Security Authority ( Domain Policy) (MS-LSAD) til handlinger med objektadgangskode, der er tillid til, som sendes via et netværk. Dette gælder kun, hvis AES-kryptering understøttes af serveren. Hvis AES-kryptering ikke understøttes af serveren, tillader systemet fallback til den ældre RC4-kryptering.
Ændringer i CVE-2022-21913 er specifikke for MS-LSAD-protokollen. De er uafhængige af andre protokoller. MS-LSAD bruger Server Message Block (SMB) over remote procedure call
(RPC) og navngivne pipes. Selvom SMB også understøtter kryptering, er den ikke aktiveret som standard. Som standard er ændringerne i CVE-2022-21913 aktiveret og giver ekstra sikkerhed på LSAD-laget. Der kræves ingen yderligere konfigurationsændringer ud over installation af beskyttelse af CVE-2022-21913, som er inkluderet i opdateringerne til Windows CVE-11. januar 2022 og nyere Windows på alle understøttede versioner af Windows. Ikke-understøttede versioner af Windows skal udgå eller opgraderes til en understøttet version.
Bemærk CVE-2022-21913 ændrer kun, hvordan tillidsadgangskoder krypteres under overførsel, når du bruger bestemte API'er fra MS-LSAD-protokollen og specifikt ikke ændrer, hvordan adgangskoder gemmes in hvile. Du kan finde flere oplysninger om, hvordan adgangskoder krypteres inaktivt i Active Directory og lokalt i SAM-databasen (registreringsdatabasen) under Teknisk oversigt over adgangskoder.
Flere oplysninger
Ændringer foretaget af opdateringerne for 11. januar 2022
-
Politikobjektmønster
Opdateringerne ændrer protokollens Politikobjektmønster ved at tilføje en ny Open Policy-metode, der gør det muligt for klienten og serveren at dele oplysninger om AES-understøttelse.Gammel metode, der bruger RC4
Ny metode ved hjælp af AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Du kan finde en komplet liste over OPnums for MS-LSAR-protokollen i [MS-LSAD]:Meddelelsesbehandlingshændelser og regler for squencing .
-
Et domænemønster, der er tillid til
Opdateringerne ændrer et mønster for oprettelse af et domæne, der er tillid til, for protokollen ved at tilføje en ny metode til at oprette en tillid, der bruger AES til at kryptere godkendelsesdata.
LsaCreateTrustedDomainEx API foretrækker nu den nye metode, hvis klienten og serveren både opdateres og vender tilbage til den ældre metode, ellers.
Gammel metode, der bruger RC4
Ny metode ved hjælp af AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Opdateringerne ændrer protokollens objektsætmønster, der er tillid til, ved at føje to nye pålidelige oplysningsklasser til metoderne LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Du kan angive pålidelige domæneobjektoplysninger på følgende måde.
Gammel metode, der bruger RC4
Ny metode ved hjælp af AES
LsarSetInformationTrustedDomain (Opnum 27) sammen med TrustedDomainAuthInformationInternal eller TrustedDomainFullInformationInternal (indeholder en krypteret adgangskode, der bruger RC4)
LsarSetInformationTrustedDomain (Opnum 27) sammen med TrustedDomainAuthInformationInternalAes eller TrustedDomainFullInformationAes (indeholder en krypteret tillidskode, der bruger AES)
LsarSetTrustedDomainInfoByName (Opnum 49) sammen med TrustedDomainAuthInformationInternal eller TrustedDomainFullInformationInternal (indeholder en krypteret adgangskode, der bruger RC4 og alle andre attributter)
LsarSetTrustedDomainInfoByName (Opnum 49) sammen med TrustedDomainAuthInformationInternalAes eller TrustedDomainFullInformationInternalAes (indeholder en krypteret adgangskode til tillid, der bruger AES og alle andre attributter)
Sådan fungerer den nye funktionsmåde
Den eksisterende LsarOpenPolicy2-metode bruges typisk til at åbne et konteksthåndtag på RPC-serveren. Dette er den første funktion, der skal kaldes for at kontakte remote Protocol-databasen (Local Security Authority (Domain Policy). Når du har installeret disse opdateringer, erstattes LsarOpenPolicy2-metoden af den nye LsarOpenPolicy3-metode.
En opdateret klient, der kalder LsaOpenPolicy API, kalder nu først LsarOpenPolicy3-metoden. Hvis serveren ikke opdateres og ikke implementerer LsarOpenPolicy3-metoden, går klienten tilbage til LsarOpenPolicy2-metoden og bruger de tidligere metoder, der bruger RC4-kryptering.
En opdateret server returnerer en ny bit i LsarOpenPolicy3-metodesvaret som defineret i LSAPR_REVISION_INFO_V1. Du kan finde flere oplysninger i afsnittene "AES Cipher Usage" og "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" i MS-LSAD.
Hvis serveren understøtter AES, bruger klienten de nye metoder og de nye oplysningsklasser for efterfølgende handlinger for "opret" og "sæt" af pålidelige domæner. Hvis serveren ikke returnerer dette flag, eller hvis klienten ikke opdateres, vender klienten tilbage til at bruge de tidligere metoder, der bruger RC4-kryptering.
Hændelseslogføring
Opdateringerne for 11. januar 2022 føjer en ny hændelse til sikkerhedshændelsesloggen for at identificere enheder, der ikke er opdateret, og for at forbedre sikkerheden.
Værdi |
Betydning |
---|---|
Hændelseskilde |
Microsoft-Windows-Security |
Hændelses-id |
6425 |
Niveau |
Oplysninger |
Meddelelsestekst for begivenhed |
En netværksklient brugte en ældre RPC-metode til at ændre godkendelsesoplysninger på et domæneobjekt, der er tillid til. Godkendelsesoplysningerne blev krypteret med en ældre krypteringsalgoritme. Overvej at opgradere klientoperativsystemet eller -programmet for at bruge den nyeste og mere sikre version af denne metode. Domæne, der er tillid til:
Ændret af:
Klientnetværksadresse: Du kan finde flere oplysninger under https://go.microsoft.com/fwlink/?linkid=2161080. |
Ofte stillede spørgsmål
SP1: Hvilke scenarier udløser en nedgradering fra AES til RC4?
A1: Der foretages en nedgradering, hvis serveren eller klienten ikke understøtter AES.
SP2: Hvordan kan jeg se, om RC4-kryptering eller AES-kryptering blev gennemført?
A2: Opdaterede servere logføres hændelse 6425, når der bruges ældre metoder, der bruger RC4.
SP3: Kan jeg kræve AES-kryptering på serveren, og vil fremtidige Windows blive gennemtvinget programmeringelt ved hjælp af AES?
A3: Der er i øjeblikket ingen tilgængelig håndhævelsestilstand. Der kan dog være i fremtiden, selvom der ikke er planlagt nogen sådan ændring.
K4: Understøtter tredjepartsklienter beskyttelse af CVE-2022-21913 for at forhandle AES, når det understøttes af serveren? Skal jeg kontakte Microsoft Support eller tredjepartssupportteamet for at løse dette spørgsmål?
A4: Hvis en tredjepartsenhed eller et program ikke bruger MS-LSAD-protokollen, er dette ikke vigtigt. Tredjepartsleverandører, der implementerer MS-LSAD-protokollen, kan vælge at implementere denne protokol. Kontakt tredjepartsforhandleren for at få flere oplysninger.
Sp5: Skal der foretages yderligere konfigurationsændringer?
A5: Ingen yderligere konfigurationsændringer er nødvendige.
Sp6: Hvad bruger denne protokol?
A6: MS-LSAD-protokollen bruges af mange Windows-komponenter, herunder Active Directory og værktøjer som f.eks. Konsollen Active Directory-domæner og -tillidsforhold. Programmer kan også bruge denne protokol via advapi32-bibliotek API'er, f.eks LsaOpenPolicy eller LsaCreateTrustedDomainEx.