Zusammenfassung
Die Windows-Updates und spätere Windows-Updates vom 11. Januar 2022 fügen Schutzmaßnahmen für CVE-2022-21913 hinzu.
Nach der Installation von Windows-Updates oder höheren Windows-Updates vom 11. Januar 2022 wird die AES-Verschlüsselung (Advanced Encryption Standard) als bevorzugte Verschlüsselungsmethode auf Windows-Clients festgelegt, wenn Sie das Legacyprotokoll "Local Security Authority (Domänenrichtlinie)" (MS-LSAD) für Kennwortvorgänge für vertrauenswürdige Domänenobjekte verwenden, die über ein Netzwerk gesendet werden. Dies gilt nur, wenn die AES-Verschlüsselung vom Server unterstützt wird. Wenn die AES-Verschlüsselung vom Server nicht unterstützt wird, erlaubt das System ein Fallback auf die alte RC4-Verschlüsselung.
Änderungen in CVE-2022-21913 gelten spezifisch für das MS-LSAD-Protokoll. Sie sind unabhängig von anderen Protokollen. MS-LSAD verwendet Server Message Block (SMB) über Remoteprozeduraufruf
(RPC) und Named Pipes. Obwohl SMB auch Verschlüsselung unterstützt, ist sie standardmäßig nicht aktiviert. Standardmäßig sind die Änderungen in CVE-2022-21913 aktiviert und bieten zusätzliche Sicherheit auf der LSAD-Ebene. Über die Installation der Schutzmaßnahmen für CVE-2022-21913 hinaus, die in den Windows-Updates und höheren Windows-Updates vom 11. Januar 2022 enthalten sind, sind keine weiteren Konfigurationsänderungen erforderlich. Nicht unterstützte Versionen von Windows sollten eingestellt oder auf eine unterstützte Version aktualisiert werden.
HinweisCVE-2022-21913 ändert nur, wie Vertrauenskennwörter während der Übertragung verschlüsselt werden, wenn Sie bestimmte APIs des MS-LSAD-Protokolls verwenden und insbesondere nicht ändern, wie Kennwörter im Ruhezustand gespeichert werden. Weitere Informationen dazu, wie Kennwörter im Ruhezustand in Active Directory und lokal in der SAM-Datenbank (Registrierung) verschlüsselt werden, finden Sie unter Technische Übersicht über Kennwörter.
Weitere Informationen
Änderungen, die bis zum 11. Januar 2022 vorgenommen wurden, Updates
Richtlinienobjektmuster
Die Updates ändern das Policy Object-Muster des Protokolls, indem eine neue Open Policy-Methode hinzugefügt wird, die es dem Client und dem Server ermöglicht, Informationen zur AES-Unterstützung freizugeben.
Alte Methode mit RC4 Neue Methode mit AES LsarOpenPolicy2 (Opnum 44) LsarOpenPolicy3 (Opnum 130) Eine vollständige Liste der MS-LSAR-Protokoll-Opnums finden Sie unter [MS-LSAD]: Nachrichtenverarbeitungsereignisse und Sequenzierungsregeln.
Vertrauenswürdiges Domänenobjektmuster
Die Updates ändern das Muster zum Erstellen von vertrauenswürdigen Domänenobjekten des Protokolls, indem sie eine neue Methode zum Erstellen einer Vertrauensstellung hinzufügen, die AES zum Verschlüsseln von Authentifizierungsdaten verwendet.
Die LsaCreateTrustedDomainEx-API wird jetzt die neue Methode bevorzugen, wenn sowohl der Client als auch der Server aktualisiert werden, und ansonsten auf die ältere Methode zurückgreifen.Alte Methode mit RC4 Neue Methode mit AES LsarCreateTrustedDomainEx2 (Opnum 59) LsarCreateTrustedDomainEx3 (Opnum 129) Die Updates ändern das Muster zum Erstellen von vertrauenswürdigen Domänenobjekten des Protokolls, indem sie zwei neue Trusted Information Classes zu den Methoden LsarSetInformationTrustedDomain (Opnum 27) und LsarSetTrustedDomainInfoByName (Opnum 49) hinzufügen. Sie können die Informationen zu vertrauenswürdigen Domänenobjekten wie folgt festlegen.
Alte Methode mit RC4 Neue Methode mit AES LsarSetInformationTrustedDomain (Opnum 27) zusammen mit TrustedDomainAuthInformationInternal oder TrustedDomainFullInformationInternal (hält ein verschlüsseltes Vertrauenskennwort, das RC4 verwendet) LsarSetInformationTrustedDomain (Opnum 27) zusammen mit TrustedDomainAuthInformationInternalAes oder TrustedDomainFullInformationAes (hält ein verschlüsseltes Vertrauenskennwort, das AES verwendet) LsarSetTrustedDomainInfoByName (Opnum 49) zusammen mit TrustedDomainAuthInformationInternal oder TrustedDomainFullInformationInternal (hält ein verschlüsseltes Vertrauenskennwort, das RC4 und alle anderen Attribute verwendet) LsarSetTrustedDomainInfoByName (Opnum 49) zusammen mit TrustedDomainAuthInformationInternalAes oder TrustedDomainFullInformationInternalAes (enthält ein verschlüsseltes Vertrauenskennwort, das AES und alle anderen Attribute verwendet)
So funktioniert das neue Verhalten
Die vorhandene Methode LsarOpenPolicy2 wird normalerweise verwendet, um ein Kontext-Handle für den RPC-Server zu öffnen. Dies ist die erste Funktion, die aufgerufen werden muss, um die Remote Protocol-Datenbank der lokalen Sicherheitsbehörde (Domänenrichtlinie) zu kontaktieren. Nach der Installation dieser Updates wird die Methode LsarOpenPolicy2 durch die neue Methode LsarOpenPolicy3 ersetzt.
Ein aktualisierter Client, der die LsaOpenPolicy-API aufruft, ruft nun zuerst die Methode LsarOpenPolicy3 auf. Wenn der Server nicht aktualisiert wird und die Methode LsarOpenPolicy3 nicht implementiert, greift der Client auf die Methode LsarOpenPolicy2 zurück und verwendet die vorherigen Methoden, die RC4-Verschlüsselung verwenden.
Ein aktualisierter Server gibt ein neues Bit in der Antwort der LsarOpenPolicy3-Methode zurück, wie in LSAPR_REVISION_INFO_V1 definiert. Weitere Informationen finden Sie in den Abschnitten „AES Cipher Usage“ und „LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES“ in MS-LSAD.
Wenn der Server AES unterstützt, verwendet der Client die neuen Methoden und neuen Informationsklassen für nachfolgende Operationen „create“ (Erstellen) und „set“ (Festlegen) einer vertrauenswürdigen Domäne. Wenn der Server dieses Flag nicht zurückgibt oder der Client nicht aktualisiert wird, greift der Client auf die vorherigen Methoden zurück, die RC4-Verschlüsselung verwenden.
Ereignisprotokollierung
Die Updates vom 11. Januar 2022 fügen ein neues Ereignis zum Sicherheitsereignisprotokoll hinzu, um nicht aktualisierte Geräte zu identifizieren und die Sicherheit zu verbessern.
| Value | Bedeutung |
|---|---|
| Ereignisquelle | Microsoft Windows-Sicherheit |
| Ereigniskennung | 6425 |
| Ebene | Informationen |
| Ereignismeldungstext | Ein Netzwerkclient hat eine Legacy-RPC-Methode verwendet, um Authentifizierungsinformationen für ein vertrauenswürdiges Domänenobjekt zu ändern. Die Authentifizierungsinformationen wurden mit einem Legacy-Verschlüsselungsalgorithmus verschlüsselt. Sie sollten ein Upgrade des Client-Betriebssystems oder der Anwendung vornehmen, um die neueste Methode mit einer verbesserten Sicherheit zu verwenden. Vertrauenswürdige Domäne:
RPC-Methodenname: Weitere Informationen findest du unter https://go.microsoft.com/fwlink/?linkid=2161080. |
Häufig gestellte Fragen (FAQ)
F1: Welche Szenarien lösen ein Downgrade von AES auf RC4 aus?
A1: Ein Downgrade tritt auf, wenn der Server oder Client AES nicht unterstützt.
F2: Wie kann ich feststellen, ob RC4-Verschlüsselung oder AES-Verschlüsselung ausgehandelt wurde?
A2: Aktualisierte Server protokollieren das Ereignis 6425, wenn Legacymethoden verwendet werden, die RC4 verwenden.
F3: Kann ich die AES-Verschlüsselung auf dem Server erfordern, und werden zukünftige Windows-Updates programmgesteuert mithilfe von AES erzwungen?
A3: Derzeit ist kein Erzwingungsmodus verfügbar. Es kann jedoch in Zukunft vorkommen, obwohl keine solche Änderung geplant ist.
F4: Unterstützen Clients von Drittanbietern Schutzmaßnahmen für CVE-2022-21913, um AES auszuhandeln, wenn dies vom Server unterstützt wird? Sollte ich mich an Microsoft-Support oder das Supportteam eines Drittanbieters wenden, um diese Frage zu beantworten?
A4: Wenn ein Gerät oder eine Anwendung eines Drittanbieters das MS-LSAD-Protokoll nicht verwendet, ist dies nicht wichtig. Drittanbieter, die das MS-LSAD-Protokoll implementieren, entscheiden sich möglicherweise für die Implementierung dieses Protokolls. Weitere Informationen erhalten Sie von Ihrem Drittanbieter.
F5: Müssen zusätzliche Konfigurationsänderungen vorgenommen werden?
A5: Es sind keine zusätzlichen Konfigurationsänderungen erforderlich.
F6: Was verwendet dieses Protokoll?
A6: Das MS-LSAD-Protokoll wird von vielen Windows-Komponenten verwendet, einschließlich Active Directory und Tools wie der Active Directory-Domänen- und Vertrauensstellungskonsole. Anwendungen können dieses Protokoll auch über Advapi32-Bibliotheks-APIs verwenden, wie z. B. LsaOpenPolicy oder LsaCreateTrustedDomainEx.