Sammendrag
De Windows-sikkerhedsopdateringer, der blev udgivet den 9. april 2024 eller derefter, løser rettighedssårbarheder med Kerberos PAC Validation Protocol. PAC (Privilege Attribute Certificate) er en udvidelse til Kerberos-tjenestebilletter. Den indeholder oplysninger om godkenderbrugeren og dennes rettigheder. Denne opdatering løser en sikkerhedsrisiko, hvor brugeren af processen kan efterligne signaturen for at tilsidesætte sikkerhedskontroller af PAC-signaturvalidering, der er tilføjet i KB5020805: Sådan administrerer du kerberos-protokolændringer, der er relateret til CVE-2022-37967.
Du kan få mere at vide om disse sårbarheder ved at besøge CVE-2024-26248 og CVE-2024-29056.
Gør noget
VIGTIGTTrin 1 for at installere opdateringen, der blev udgivet d. 9. april 2024 eller derefter, løser IKKE som standard alle sikkerhedsproblemer i CVE-2024-26248 og CVE-2024-29056 . Hvis du vil afhjælpe sikkerhedsproblemet fuldt ud for alle enheder, skal du gå til Gennemtvunget tilstand (beskrevet i trin 3), når miljøet er fuldt opdateret.
For at beskytte dit miljø og forhindre afbrydelser anbefaler vi følgende trin:
-
OPDATERING: Windows-domænecontrollere og Windows-klienter skal opdateres med en Windows-sikkerhedsopdatering, der er udgivet den 9. april 2024 eller derefter.
-
SKÆRM: Overvågningshændelser vil være synlige i kompatibilitetstilstand for at identificere enheder, der ikke er opdateret.
-
AKTIVERER: Når gennemtvingelsestilstanden er fuldt aktiveret i dit miljø, afhjælpes de sårbarheder, der er beskrevet i CVE-2024-26248 og CVE-2024-29056 .
Baggrund
Når en Windows-arbejdsstation udfører PAC-validering på et indgående Kerberos-godkendelsesflow, udfører den en ny anmodning (Network Ticket Logon) om at validere servicebilletten. Anmodningen videresendes til en domænecontroller (DC) af domænet Workstations via Netlogon.
Hvis tjenestekontoen og computerkontoen tilhører forskellige domæner, overføres anmodningen på tværs af de nødvendige tillidsforhold via Netlogon, indtil den når tjenestedomænet. Ellers udfører domænecontrolleren i computerkontodomænet valideringen. Dc'en kalder derefter Nøgledistributionscenter (KDC) for at validere PAC-signaturer for servicebilletten og sender bruger- og enhedsoplysninger tilbage til arbejdsstationen.
Hvis anmodningen og svaret videresendes på tværs af et tillidsforhold (i tilfælde, hvor tjenestekontoen og arbejdsstationskontoen tilhører forskellige domæner), filtrerer hver DC på tværs af tillidscenteret godkendelsesdata, der vedrører den.
Tidslinje for ændringer
Opdateringer frigives på følgende måde. Bemærk, at denne udgivelsesplan kan blive revideret efter behov.
Den indledende installationsfase starter med de opdateringer, der blev udgivet d. 9. april 2024. Denne opdatering tilføjer en ny funktionsmåde, der forhindrer udvidelse af rettighedssårbarheder beskrevet i CVE-2024-26248 og CVE-2024-29056 , men gennemtvinger den ikke, medmindre både Windows-domænecontrollere og Windows-klienter i miljøet opdateres.
Hvis du vil aktivere den nye funktionsmåde og afhjælpe sårbarhederne, skal du sørge for, at hele Windows-miljøet (herunder både domænecontrollere og klienter) er opdateret. Overvågningshændelser logføres for at identificere enheder, der ikke opdateres.
Opdateringer, der er udgivet den 15. oktober 2024 eller derefter, flytter alle Windows-domænecontrollere og -klienter i miljøet til Gennemtvunget tilstand ved at ændre indstillingerne for undernøgler i registreringsdatabasen til PacSignatureValidationLevel=3 og CrossDomainFilteringLevel=4, så den sikre funktionsmåde som standard gennemtvinges.
Indstillingerne Gennemtvinges som standard kan tilsidesættes af en administrator for at vende tilbage til kompatibilitetstilstand .
De Windows-sikkerhedsopdateringer, der er udgivet den 8. april 2025 eller derefter, fjerner understøttelse af undernøglerne PacSignatureValidationLevel og CrossDomainFilteringLevel i registreringsdatabasen og gennemtvinger den nye sikre funktionsmåde. Der vil ikke være nogen understøttelse af kompatibilitetstilstand , når du har installeret denne opdatering.
Potentielle problemer og afhjælpninger
Der kan opstå problemer, herunder PAC-validering og fejl i krydsfiltrering på tværs af skov. Sikkerhedsopdateringen fra 9. april 2024 indeholder reservelogik og indstillinger i registreringsdatabasen for at afhjælpe disse problemer
Indstillinger i registreringsdatabasen
Denne sikkerhedsopdatering tilbydes til Windows-enheder (herunder domænecontrollere). Følgende registreringsdatabasenøgler, der styrer funktionsmåden, skal kun installeres på Kerberos-serveren, der accepterer indgående Kerberos-godkendelse og udfører PAC-validering.
|
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Værdi |
PacSignatureValidationLevel |
|
|
Datatype |
REG_DWORD |
|
|
Data |
2 |
Standard (kompatibilitet med ikke-patchede miljø) |
|
3 |
Håndhæve |
|
|
Genstart Påkrævet? |
Nej |
|
|
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Værdi |
CrossDomainFilteringLevel |
|
|
Datatype |
REG_DWORD |
|
|
Data |
2 |
Standard (kompatibilitet med ikke-patchede miljø) |
|
4 |
Håndhæve |
|
|
Genstart Påkrævet? |
Nej |
|
Denne registreringsdatabasenøgle kan installeres på begge Windows-servere, der accepterer indgående Kerberos-godkendelse, samt enhver Windows-domænecontroller, der validerer det nye flow til logon af netværksbillet undervejs.
|
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Værdi |
AuditKerberosTicketLogonEvents |
|
|
Datatype |
REG_DWORD |
|
|
Data |
1 |
Standard – logfør kritiske hændelser |
|
2 |
Logfør alle netlogonhændelser |
|
|
0 |
Logfør ikke Netlogon-hændelser |
|
|
Genstart Påkrævet? |
Nej |
|
Hændelseslogfiler
Følgende Kerberos-overvågningshændelser genereres på Kerberos-serveren, der accepterer indgående Kerberos-godkendelse. Denne Kerberos-server udfører PAC-validering, som bruger det nye logonflow for netværksbillet.
|
Hændelseslog |
System |
|
Hændelsestype |
Informative |
|
Hændelseskilde |
Security-Kerberos |
|
Hændelses-id |
21 |
|
Hændelsestekst |
Under kerberos-netværksbilletlogon> servicebilletten for konto- <-konto fra domæne- <domæne> fået udført følgende handlinger af DC-<domænecontroller>. Du kan finde flere oplysninger på https://go.microsoft.com/fwlink/?linkid=2262558. |
Hændelsen vises, når en domænecontroller har udført en ikke-alvorlig handling under logonflowet for en netværksbillet. I øjeblikket logføres følgende handlinger:
-
Bruger-ID'er blev filtreret.
-
Enheds-SIM-kort blev filtreret.
-
Sammensat identitet blev fjernet på grund af SID-filtrering, der ikke tilstod enhedens identitet.
-
Sammensat identitet blev fjernet på grund af SID-filtrering, der ikke tilstod enhedens domænenavn.
|
Hændelseslog |
System |
|
Hændelsestype |
Fejl |
|
Hændelseskilde |
Security-Kerberos |
|
Hændelses-id |
22 |
|
Hændelsestekst |
Under kerberos-netværksbilletlogon blev servicebilletten til konto- <-konto> fra domæne-<domæne-> afvist af DC <DC-> af nedenstående årsager. Du kan finde flere oplysninger på https://go.microsoft.com/fwlink/?linkid=2262558. |
Hændelsen vises, når en domænecontroller afviste anmodningen om logon til netværksbillet af de årsager, der er vist i begivenheden.
|
Hændelseslog |
System |
|
Hændelsestype |
Advarsel eller fejl |
|
Hændelseskilde |
Security-Kerberos |
|
Hændelses-id |
23 |
|
Hændelsestekst |
Under kerberos-netværksbilletlogon kunne servicebilletten for konto <account_name> fra domæne-<domain_name> ikke videresendes til en domænecontroller for at servicere anmodningen. Du kan finde flere oplysninger på https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Hændelsen vises som en advarsel, hvis PacSignatureValidationLevel OG CrossDomainFilteringLevel ikke er indstillet til Gennemtving eller strengere. Når logføres som en advarsel, angiver hændelsen, at netværksbilletlogonflowet kontaktede en domænecontroller eller tilsvarende enhed, der ikke forstod den nye mekanisme. Godkendelsen fik tilladelse til at gå tilbage til tidligere funktionsmåde.
-
Hændelsen vises som en fejl, hvis PacSignatureValidationLevel ELLER CrossDomainFilteringLevel er indstillet til Gennemtving eller strengere. Hændelsen som "fejl" angiver, at flowet netværksbilletlogon kontaktede en domænecontroller eller tilsvarende enhed, der ikke forstod den nye mekanisme. Godkendelsen blev nægtet og kunne ikke gå tilbage til tidligere funktionsmåde.
|
Hændelseslog |
System |
|
Hændelsestype |
Fejl |
|
Hændelseskilde |
Netlogon |
|
Hændelses-id |
5842 |
|
Hændelsestekst |
Netlogon-tjenesten stødte på en uventet fejl under behandling af en Kerberos Network Ticket Logon-anmodning. Du kan finde flere oplysninger på https://go.microsoft.com/fwlink/?linkid=2261497. Servicebilletkonto: <-konto> Domæne for servicebillet: <domæne> Navn på arbejdsstation: <computernavn> Status:> <fejlkode |
Hændelsen genereres, når Netlogon stødte på en uventet fejl under logonanmodningen om en netværksbillet. Hændelsen logføres, når AuditKerberosTicketLogonEvents er indstillet til (1) eller højere.
|
Hændelseslog |
System |
|
Hændelsestype |
Advarsel |
|
Hændelseskilde |
Netlogon |
|
Hændelses-id |
5843 |
|
Hændelsestekst |
Netlogon-tjenesten kunne ikke videresende en Kerberos Network Ticket Logon-anmodning til domænecontrolleren <DC->. Du kan finde flere oplysninger på https://go.microsoft.com/fwlink/?linkid=2261497. Servicebilletkonto: <-konto> Domæne for servicebillet: <domæne> Navn på arbejdsstation: <computernavn> |
Hændelsen genereres, når Netlogon ikke kunne fuldføre logon med netværksbillet, fordi en domænecontroller ikke forstod ændringerne. På grund af begrænsninger i Netlogon-protokollen kan Netlogon-klienten ikke afgøre, om den domænecontroller, som Netlogon-klienten taler med direkte, er den, der ikke forstår ændringerne, eller om det er en domænecontroller langs videresendelseskæden, der ikke forstår ændringerne.
-
Hvis servicebilletdomænet er det samme som computerkontoens domæne, er det sandsynligt, at domænecontrolleren i hændelsesloggen ikke forstår netværksbilletlogonflowet.
-
Hvis domænet for servicebillet er forskelligt fra computerkontoens domæne, forstod en af domænecontrolleren undervejs fra computerkontoens domæne til tjenestekontoens domæne ikke flowet til logon af netværksbillet
Hændelsen er som standard deaktiveret. Microsoft anbefaler, at brugerne først opdaterer hele deres flåde, før de aktiverer begivenheden.
Hændelsen logføres, når AuditKerberosTicketLogonEvents er indstillet til (2).
Ofte stillede spørgsmål (ofte stillede spørgsmål)
En domænecontroller, der ikke er opdateret, genkender ikke denne nye anmodningsstruktur. Dette medfører, at sikkerhedskontrollen mislykkes. I kompatibilitetstilstand bruges den gamle anmodningsstruktur. Dette scenarie er stadig sårbart over for CVE-2024-26248 og CVE-2024-29056.
Ja. Dette skyldes, at det nye flow network ticket logon muligvis skal distribueres på tværs af domæner for at nå domænet for tjenestekontoen.
PAC-validering kan ignoreres under visse omstændigheder, herunder, men ikke begrænset til, følgende scenarier:
-
Hvis tjenesten har TCB-rettigheder. Generelt har tjenester, der kører under konteksten af SYSTEM-kontoen (f.eks. SMB-filshares eller LDAP-servere), denne rettighed.
-
Hvis tjenesten køres fra Opgavestyring.
Ellers udføres PAC-validering på alle indgående Kerberos-godkendelsesflows.
Disse cv'er omfatter en lokal rettighedsudvidelse, hvor en ondsindet eller kompromitteret tjenestekonto, der kører på Windows Workstation, forsøger at øge deres rettigheder til at opnå lokale administrationsrettigheder. Det betyder, at det kun er Windows Workstation, der accepterer indgående Kerberos-godkendelse, der påvirkes.
