Ændringslog
|
Ændring 1: 5. april 2023: Flyttede fasen "Håndhævelse som standard" af registreringsdatabasenøglen fra 11. april 2023 til 13. juni 2023 i afsnittet "Timing of updates to address CVE-2022-38023". Ændring 2: 20. april 2023: Fjernet unøjagtig reference til "Domænecontroller: Tillad sårbare Netlogon-forbindelser til sikre kanaler" gruppepolitikobjekt (GPO) i afsnittet "Indstillinger for registreringsdatabasenøgle". Ændring 3: 19. juni 2023:
|
I denne artikel
Sammendrag
Windows-opdateringerne fra 8. november 2022 og nyere løser svagheder i Netlogon-protokollen, når RPC-signering bruges i stedet for RPC-forsegling. Du kan finde flere oplysninger i CVE-2022-38023 .
Netlogon Remote Protocol RPC-grænsefladen (Remote Procedure Call) bruges primært til at opretholde relationen mellem en enhed og dens domæne og relationer mellem domænecontrollere og domæner.
Denne opdatering beskytter Windows-enheder fra CVE-2022-38023 som standard. For tredjepartsklienter og tredjepartsdomænecontrollere er opdateringen som standard i kompatibilitetstilstand og tillader sårbare forbindelser fra sådanne klienter. Se afsnittet Indstillinger for registreringsdatabasenøgle for at få trin til at flytte til gennemtvingelsestilstand.
For at beskytte dit miljø skal du installere Windows-opdateringen, der er dateret d. 8. november 2022 eller en nyere Windows-opdatering, på alle enheder, herunder domænecontrollere.
Vigtigt Fra og med juni 2023 vil gennemtvingelsestilstand være aktiveret på alle Windows-domænecontrollere og blokere sårbare forbindelser fra ikke-kompatible enheder. På det tidspunkt kan du ikke deaktivere opdateringen, men kan gå tilbage til indstillingen Kompatibilitetstilstand. Kompatibilitetstilstand fjernes i juli 2023, som beskrevet i afsnittet Timing of updates to address Netlogon vulnerability CVE-2022-38023 .
Tidsindstillinger for opdateringer til adressen CVE-2022-38023
Opdateringer frigives i flere faser: den første fase for opdateringer, der er udgivet den 8. november 2022 eller derefter, og håndhævelsesfasen for opdateringer, der er udgivet den 11. juli 2023 eller derefter.
Den indledende installationsfase starter med de opdateringer, der blev udgivet d. 8. november 2022, og fortsætter med senere Windows-opdateringer indtil håndhævelsesfasen. Windows-opdateringer den 8. november 2022 eller derefter løser sikkerhedsrisiko ved omgåelse af sikkerhed i CVE-2022-38023 ved at gennemtvinge RPC-forsegling på alle Windows-klienter.
Enheder indstilles som standard i kompatibilitetstilstand. Windows-domænecontrollere kræver, at Netlogon-klienter bruger RPC-segl, hvis de kører Windows, eller hvis de fungerer som enten domænecontrollere eller som tillidskonti.
De Windows-opdateringer, der er udgivet den 11. april 2023 eller derefter, fjerner muligheden for at deaktivere RPC-forsegling ved at indstille værdien 0 til undernøglen RequireSeal i registreringsdatabasen.
Undernøglen RequireSeal i registreringsdatabasen flyttes til gennemtvunget tilstand, medmindre administratorer eksplicit konfigurerer til at være under Kompatibilitetstilstand. Sårbare forbindelser fra alle klienter, herunder tredjeparter, vil blive nægtet godkendelse. Se Ændring 1.
De Windows-opdateringer, der blev udgivet d. 11. juli 2023, fjerner muligheden for at angive værdi 1 til undernøglen RequireSeal i registreringsdatabasen. Dette aktiverer håndhævelsesfasen for CVE-2022-38023.
Indstillinger for registreringsdatabasenøgle
Når de Windows-opdateringer, der er dateret den 8. november 2022 eller derefter er installeret, er følgende undernøgler i registreringsdatabasen tilgængelige for Netlogon-protokollen på Windows-domænecontrollere.
VIGTIGT Denne opdatering samt fremtidige ændringer i håndhævelsen tilføjer eller fjerner ikke automatisk undernøglen "RequireSeal" i registreringsdatabasen. Denne undernøgle i registreringsdatabasen skal tilføjes manuelt, for at den kan læses. Se Ændring 3.
KræverSeal undernøgle
|
Registreringsdatabasenøgle |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Værdi |
KræverSeal |
|
Datatype |
REG_DWORD |
|
Data |
0 – Deaktiveret 1 – Kompatibilitetstilstand. Windows-domænecontrollere kræver, at Netlogon-klienter bruger RPC Seal, hvis de kører Windows, eller hvis de fungerer som enten domænecontrollere eller tillidskonti. 2 – Håndhævelsestilstand. Alle klienter skal bruge RPC Seal. Se Ændring 2. |
|
Skal du genstarte? |
Nej |
Windows-hændelser, der er relateret til CVE-2022-38023
BEMÆRK Følgende hændelser har en 1-timers buffer, hvor dublerede hændelser, der indeholder de samme oplysninger, kasseres under den pågældende buffer.
|
Hændelseslog |
System |
|
Hændelsestype |
Fejl |
|
Hændelseskilde |
NETLOGON |
|
Hændelses-id |
5838 |
|
Hændelsestekst |
Netlogon-tjenesten fandt en klient ved hjælp af RPC-signering i stedet for RPC-forsegling. |
Hvis du finder denne fejlmeddelelse i hændelseslogfilerne, skal du udføre følgende handlinger for at løse systemfejlen:
-
Bekræft, at enheden kører en understøttet version af Windows.
-
Kontrollér, at alle enheder er opdateret.
-
Kontrollér, at domænemedlem: Domænemedlem krypterer eller signerer data for sikker kanal digitalt (altid) er indstillet til Aktiveret .
|
Hændelseslog |
System |
|
Hændelsestype |
Fejl |
|
Hændelseskilde |
NETLOGON |
|
Hændelses-id |
5839 |
|
Hændelsestekst |
Netlogon-tjenesten fandt et tillidsforhold ved hjælp af RPC-signering i stedet for RPC-forsegling. |
|
Hændelseslog |
System |
|
Hændelsestype |
Advarsel |
|
Hændelseskilde |
NETLOGON |
|
Hændelses-id |
5840 |
|
Hændelsestekst |
Netlogon-tjenesten har oprettet en sikker kanal med en klient med RC4. |
Hvis du finder Hændelse 5840, er dette et tegn på, at en klient på dit domæne bruger svag kryptografi.
|
Hændelseslog |
System |
|
Hændelsestype |
Fejl |
|
Hændelseskilde |
NETLOGON |
|
Hændelses-id |
5841 |
|
Hændelsestekst |
Netlogon-tjenesten afviste en klient, der bruger RC4 på grund af indstillingen 'RejectMd5Clients'. |
Hvis du finder Hændelse 5841, er dette et tegn på, at værdien RejectMD5Clients er angivet til SAND .
Nøglen RejectMD5Clients er en allerede eksisterende nøgle i Netlogon-tjenesten. Du kan få mere at vide i beskrivelsen AfvisMD5Clients af den abstrakte datamodel.
Ofte stillede spørgsmål (ofte stillede spørgsmål)
Alle domænetilknyttede computerkonti påvirkes af dette CVE. Hændelser viser, hvem der er mest påvirket af dette problem, efter at Windows-opdateringerne fra den 8. november 2022 eller nyere er installeret. Læs afsnittet Hændelseslogfejl for at løse problemerne.
For at hjælpe med at registrere ældre klienter, der ikke bruger den stærkeste tilgængelige kryptovaluta, introducerer denne opdatering hændelseslogge for klienter, der bruger RC4.
RPC-signering er, når Netlogon-protokollen bruger RPC til at signere de meddelelser, den sender via kablet. RPC-forsegling er, når Netlogon-protokollen begge signerer og krypterer de meddelelser, den sender via kablet.
Windows-domænecontroller afgør, om en Netlogon-klient kører Windows, ved at forespørge på attributten "OperatingSystem" i Active Directory for Netlogon-klienten og søge efter følgende strenge:
-
"Windows", "Hyper-V Server" og "Azure Stack HCI"
Vi anbefaler eller understøtter ikke, at denne attribut ændres af Netlogon-klienter eller domæneadministratorer til en værdi, der ikke er repræsentativ for det operativsystem (OS), som Netlogon-klienten kører. Du skal være opmærksom på, at vi når som helst kan ændre søgekriterierne. Se Ændring 3.
Håndhævelsesfasen afviser ikke Netlogon-klienter baseret på den type kryptering, som klienterne bruger. Det vil kun afvise Netlogon-klienter, hvis de udfører RPC-signering i stedet for RPC-forsegling. Afvisning af RC4 Netlogon-klienter er baseret på registreringsdatabasenøglen "RejectMd5Clients", der er tilgængelig for Windows Server 2008 R2 og nyere Windows-domænecontrollere. Gennemtvingelsesfasen for denne opdatering ændrer ikke værdien "RejectMd5Clients". Vi anbefaler, at kunder aktiverer værdien "RejectMd5Clients" for at opnå højere sikkerhed på deres domæner. Se Ændring 3.
Ordliste
Advanced Encryption Standard (AES) er en blokkryptering, der tilsidesætter DATA Encryption Standard (DES). AES kan bruges til at beskytte elektroniske data. AES-algoritmen kan bruges til at kryptere (kryptere) og dekryptere (dekryptere) oplysninger. Kryptering konverterer data til en ikke-tilgængelig form, der kaldes kryptering. dekryptering af krypteringen konverterer dataene tilbage til den oprindelige form, kaldet almindelig tekst. AES bruges i symmetrisk nøglekryptografi, hvilket betyder, at den samme nøgle bruges til krypterings- og dekrypteringshandlinger. Det er også en blokkryptering, hvilket betyder, at den fungerer på blokke af fast størrelse af almindelig tekst og kryptering, og kræver, at størrelsen af almindelig tekst samt krypteringsteksten er et nøjagtigt multiplum af denne blokstørrelse. AES er også kendt som Den Rijndael symmetriske krypteringsalgoritme [FIPS197] .
I et Windows NT-operativsystemkompatibelt netværkssikkerhedsmiljø er den komponent, der er ansvarlig for synkroniserings- og vedligeholdelsesfunktioner mellem en primær domænecontroller (PDC) og BDC (backup domain controllers). Netlogon er en prækursor til DRS-protokollen (Directory Replication Server). Netlogon Remote Protocol RPC-grænsefladen (Remote Procedure Call) bruges primært til at opretholde relationen mellem en enhed og dens domæne og relationer mellem domænecontrollere og domæner. Du kan få mere at vide under Netlogon Remote Protocol.
RC4-HMAC (RC4) er en symmetrisk krypteringsalgoritme med variabel nøglelængde. Du kan få mere at vide under [SCHNEIER] afsnit 17.1.
En godkendt RPC-forbindelse (Remote Procedure Call) mellem to computere i et domæne med en etableret sikkerhedskontekst , der bruges til signering og kryptering af RPC-pakker .
