AKTUALISIERT AM 25.03.2022

Zusammenfassung

CVE-2021-42287 behebt eine Sicherheitsanfälligkeit bezüglich Umgehung von Sicherheitsanforderungen, die das Kerberos Privilege Attribute Certificate (PAC) betrifft und potenziellen Angreifern ermöglicht, sich als Domänencontroller auszugeben. Um diese Sicherheitsanfälligkeit auszunutzen, kann ein kompromittiertes Domänenkonto dazu führen, dass das Schlüsselverteilungscenter (KDC) ein Serviceticket mit einer höheren Berechtigungsstufe als das des kompromittierten Kontos erstellt. Dies wird erreicht, indem verhindert wird, dass das KDC erkennt, für welches Konto das Dienstticket für höhere Berechtigungen bestimmt ist.

Der verbesserte Authentifizierungsprozess in CVE-2021-42287 fügt den PACs von Kerberos Ticket-Granting Tickets (TGT) neue Informationen über den ursprünglichen Anforderer hinzu. Wenn später ein Kerberos-Serviceticket für ein Konto generiert wird, überprüft der neue Authentifizierungsprozess, ob das Konto, das die TGT angefordert hat, das gleiche Konto ist, auf das im Serviceticket verwiesen wird.

Nach der Installation von Windows-Updates vom 9. November 2021 oder höher werden PACs zur TGT aller Domänenkonten hinzugefügt, auch derjenigen, die zuvor PACs abgelehnt haben.

Handeln Sie

Gehen Sie wie folgt vor, um Ihre Umgebung zu schützen und Ausfälle zu vermeiden:

  1. Aktualisieren Sie alle Geräte, die die Active Directory-Domänencontroller-Rolle hosten, indem Sie das Sicherheitsupdate vom 9. November 2021 und das Out-of-Band (OOB)-Update vom 14. November 2021 installieren. Nachfolgend finden Sie die OOB-KB-Nummer für Ihr jeweiliges Betriebssystem.

    BS

    KB-Nummer

    Windows Server 2016

    5008601

    Windows Server 2019

    5008602

    Windows Server 2012 R2

    5008603

    Windows Server 2012

    5008604

    Windows Server 2008 R2 SP1

    5008605

    Windows Server 2008 SP2

    5008606

  2. Nachdem Sie das Sicherheitsupdate vom 9. November 2021 und das OOB-Update vom 14. November 2021 mindestens 7 Tage lang auf allen Active Directory-Domänencontrollern installiert haben, empfehlen wir Ihnen dringend, den Enforcement-Modus auf allen Active Directory-Domänencontrollern zu aktivieren.

  3. Beginnend mit dem Update vom 11. Oktober 2022 zur Erzwingungsphase wird der Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert und ist erforderlich.

Zeitplan für die Windows-Updates

Diese Windows-Updates werden in drei Phasen veröffentlicht:

  1. Erste Bereitstellung – Einführung des Updates sowie des Registrierungsschlüssels PacRequestorEnforcement

  2. Zweite Bereitstellung – Entfernen des PacRequestorEnforcement-Werts von 0 (Möglichkeit, den Registrierungsschlüssel zu deaktivieren)

  3. Erzwingungsphase – Der Erzwingungsmodus ist aktiviert. Entfernen des Registrierungsschlüssels PacRequestorEnforcement

9. November 2021: Erste Bereitstellungsphase

Die erste Bereitstellungsphase beginnt mit den am 9. November 2021 veröffentlichten Windows-Updates. Diese Version:

  • Zusätzlicher Schutz vor CVE-2021-42287

  • Fügt Unterstützung für den Registrierungswert PacRequestorEnforcement hinzu, mit dem Sie frühzeitig in die Durchsetzungsphase wechseln können

Die Risikominderung besteht in der Installation von Windows-Updates auf allen Geräten, auf denen die Domänencontrollerrolle und schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODC) gehostet werden.

(Aktualisiert) 12. Juli 2022: Zweite Bereitstellungsphase

Die zweite Bereitstellungsphase beginnt mit dem Windows-Update, das am 12. Juli 2022 veröffentlicht wird. In dieser Phase wird die Einstellung von PacRequestorEnforcement auf 0 entfernt. Wenn Sie PacRequestorEnforcement nach der Installation dieses Updates auf 0 setzen, hat dies die gleiche Wirkung wie PacRequestorEnforcement auf 1 zu setzen. Die Domänencontroller (DCs) befinden sich im Bereitstellungsmodus.

Hinweis Diese Phase ist nicht erforderlich, wenn PacRequestorEnforcement in Ihrer Umgebung nie auf 0 gesetzt worden ist. In dieser Phase wird sichergestellt, dass Kunden, die PacRequestorEnforcement auf 0gesetzt haben, vor der Erzwingungsphase auf Einstellung 1 wechseln.

Hinweis Bei diesem Update wird davon ausgegangen, dass alle Domänencontroller mit dem Windows-Update vom 9. November 2021 oder höher aktualisiert werden.

(Aktualisiert) 11. Oktober 2022: Erzwingungsphase

Mit der Veröffentlichung vom 11. Oktober 2022 werden alle Active Directory-Domänencontroller in die Erzwingungsphase überführt. In der Erzwingungsphase wird auch der Registrierungsschlüssel PacRequestorEnforcement vollständig entfernt. Infolgedessen sind Windows-Domänencontroller, die das Update vom 11. Oktober 2022 installiert haben, nicht mehr kompatibel mit:

  • Domänencontrollern, die die Updates vom 9. November 2021 oder höher nicht installiert haben.

  • Domänencontrollern, die die Updates vom 9. November 2021 oder später installiert haben, aber das Update vom 12. Juli 2022 noch nicht installiert haben UNDdie einen PacRequestorEnforcement-Registrierungswert von 0 haben.

Windows-Domänencontroller, die das Update vom 11. Oktober 2022 installiert haben, bleiben jedoch kompatibel mit:

  • Windows-Domänencontrollern, die Updates vom 11. Oktober 2022 oder höher installiert haben

  • Windows-Domänencontrollern, die die Updates vom 9. November 2021 oder später installiert haben und einen PacRequestorEnforcement-Wert haben von entweder 1 oder 2 haben

Registrierungsschlüssel-Informationen

Nach der Installation von CVE-2021-42287-Schutz in Windows-Updates, die zwischen dem 9. November 2021 und dem 14. Juni 2022 veröffentlicht wurden, steht der folgende Registrierungsschlüssel zur Verfügung:

Registrierungsunterschlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Wert

PacRequestorEnforcement

Datentyp

REG_DWORD

Daten

1: Fügen Sie das neue PAC zu Benutzern hinzu, die sich mit einem Active Directory-Domänencontroller authentifiziert haben, der die Updates vom 9. November 2021 oder später installiert hat. Wenn der Benutzer bei der Authentifizierung über das neue PAC verfügt, wird das PAC validiert. Wenn der Benutzer nicht über das neue PAC verfügt, werden keine weiteren Maßnahmen ergriffen. Active Directory-Domänencontroller in diesem Modus befinden sich in der Bereitstellungsphase.

2: Fügen Sie das neue PAC zu Benutzern hinzu, die sich mit einem Active Directory-Domänencontroller authentifiziert haben, der die Updates vom 9. November 2021 oder später installiert hat. Wenn der Benutzer bei der Authentifizierung über das neue PAC verfügt, wird das PAC validiert. Wenn der Benutzer nicht über das neue PAC verfügt, wird die Authentifizierung verweigert. Active Directory-Domänencontroller in diesem Modus befinden sich in der Erzwingungsphase.

0: Deaktiviert den Registrierungsschlüssel. Nicht empfohlen. Active Directory-Domänencontroller in diesem Modus befinden sich in der Deaktivierungsphase. Dieser Wert wird nach den Updates vom 12. Juli 2022 oder später nicht mehr vorhanden sein.

Wichtig Einstellung 0 ist nicht kompatibel mit Einstellung 2. Es kann zu zeitweiligen Fehlern kommen, wenn beide Einstellungen in einer Gesamtstruktur verwendet werden. Wenn die Einstellung 0 verwendet wird, empfehlen wir, dass Sie die Einstellung 0 (Deaktivieren) mindestens eine Woche lang auf die Einstellung 1 (Bereitstellung) umstellen, bevor Sie zur Einstellung 2 (Erzwingungsmodus) wechseln.

Standard

1 (wenn der Registrierungsschlüssel nicht festgelegt ist)

Ist ein Neustart erforderlich?

Nein

Überwachungs-Ereignisse

Mit dem Windows-Update vom 9. November 2021 werden auch neue Ereignisprotokolle hinzugefügt.

PAC ohne Attribute

Das KDC erhält ein TGT ohne PAC-Attribut-Puffer. Es ist wahrscheinlich, dass das andere KDC in den Protokollen das Update nicht enthält oder sich im Deaktivierungsmodus befindet.

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

35

Ereignistext

Das Schlüsselverteilungscenter (KDC) hat ein Ticket-Gewährungs-Ticket (TGT) von einem anderen KDC („<KDC Name>“) erhalten, das kein PAC-Attributfeld enthielt. 

Ticket ohne PAC

Das KDC erhält ein TGT oder ein anderes Evidence Ticket ohne PAC. Dadurch wird verhindert, dass das KDC Sicherheitsprüfungen für das Ticket durchführt.

Ereignisprotokoll

System

Ereignistyp

Warnung während der Bereitstellungsphase

Fehler während der Erzwingungsphase

Ereignisquelle

Kdcsvc

Ereigniskennung

36

Ereignistext

Das Schlüsselverteilungscenter (KDC) hat bei der Bearbeitung einer Anfrage für ein anderes Ticket ein Ticket erhalten, das kein PAC enthielt. Dies verhinderte die Ausführung von Sicherheitsprüfungen und es könnte Sicherheitsrisiken entstehen. 

Client:<Domain Name>\<User Name>

Ticket für: <Service Name>

Ticket ohne Anforderer

Das KDC erhält ein TGT oder ein anderes Evidence Ticket ohne PAC-Anforderer-Puffer. Es ist wahrscheinlich, dass das KDC, das das PAC erstellt hat, das Update nicht enthält oder sich im Deaktivierungsmodus befindet.

Hinweis Weitere wichtige Informationen zu Event 37 finden Sie im Abschnitt Bekannte Probleme.

Ereignisprotokoll

System

Ereignistyp

Warnung während der Bereitstellungsphase

Fehler während der Erzwingungsphase

Ereignisquelle

Kdcsvc

Ereigniskennung

37

Ereignistext

Das Schlüsselverteilungscenter (KDC) hat bei der Bearbeitung einer Anfrage für ein anderes Ticket ein Ticket erhalten, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat. Dies verhinderte die Ausführung von Sicherheitsprüfungen und es könnte Sicherheitsrisiken entstehen. 

Ticket-PAC erstellt von: <KDC Name>

 Client: <Domain Name>\<Client Name>

Ticket für: <Service Name>

Anforderer-Abweichung

Das KDC erhält ein TGT oder ein anderes Evidence Ticket, und das Konto, das das TGT oder das Evidence Ticket angefordert hat, stimmt nicht mit dem Konto überein, für das das Dienstticket erstellt wurde.

Ereignisprotokoll

System

Ereignistyp

Fehler

Ereignisquelle

Kdcsvc

Ereigniskennung

38

Ereignistext

Das Schlüsselverteilungscenter (KDC) hat ein Ticket erhalten, das inkonsistente Informationen über das Konto enthielt, das das Ticket angefordert hat. Dies könnte bedeuten, dass das Konto seit der Ausstellung des Tickets umbenannt wurde, was möglicherweise Teil eines versuchten Exploits war. 

Ticket-PAC erstellt von: <Kdc Name>

Client:<Domain Name>\<User Name>

Ticket für: <Service Name>

Anfordern einer Konto-SID von Active Directory: <SID>

Anfordern der Konto-SID vom Ticket: <SID>

Bekannte Probleme

Symptom

Problemumgehung 

Nach der Installation von Windows-Updates, die am 9. November 2021 oder später auf Domänencontrollern (DCs) veröffentlicht wurden, sehen einige Kunden möglicherweise die neue Audit-Ereignis-ID 37, die nach bestimmten Passworteinstellungen oder Änderungsvorgängen protokolliert wurde, wie:

  • CNO oder VCO des Failoverclusters aktualisieren oder reparieren

  • Zurücksetzen des Passworts eines Benutzers über die Active Directory-Benutzer- und -Computerkonsole (dsa.msc)

  • Erstellen Sie einen neuen Benutzer über die Active Directory-Benutzer- und -Computerkonsole (dsa.msc)

  • Kennwort für Drittanbieter-Domain-verbundene Geräte ändern

Wenn Sie die Ereignis-ID 37 nach der Installation von Windows-Updates, die am 9. November 2021 oder später für eine Woche veröffentlicht wurden, nicht sehen und PacRequestorEnforcement entweder 1 oder 2 ist, ist Ihre Umgebung nicht betroffen.

Wenn Sie PacRequestorEnforcement = 1 einstellen, wird die Ereignis-ID 37 als Warnung protokolliert, aber Passwortänderungsanfragen werden erfolgreich sein und keine Auswirkungen auf Benutzer haben.

Wenn Sie PacRequestorEnforcement = 2 einstellen, schlagen Kennwortänderungsanfragen fehl und führen dazu, dass die oben aufgeführten Vorgänge ebenfalls fehlschlagen.

Nächste Schritte: Microsoft untersucht dieses Problem. Vermeiden Sie in der Zwischenzeit, PacRequestorEnforcement = 2 auf die betroffenen Umgebungen zu setzen.

Häufig gestellte Fragen

F1 Was passiert, wenn ich eine Mischung aus Active Directory-Domänencontrollern habe, die aktualisiert und nicht aktualisiert sind?

A1. Eine Mischung aus Domänencontrollern, die aktualisiert und nicht aktualisiert werden, aber den Standardwert für PacRequestorEnforcement-Registrierungsschlüssel von 1 haben, ist miteinander kompatibel. Microsoft rät jedoch dringend davon ab, aktualisierte und nicht aktualisierte Domänencontroller in einer Umgebung zu haben.

F2 Was passiert, wenn ich eine Mischung aus Active Directory-Domänencontrollern habe, die verschiedene PacRequestorEnforcement-Werte haben?

A2. Eine Mischung aus Domänencontrollern, die PacRequestorEnforcement-Werte von 0 und 1 haben, ist miteinander kompatibel. Eine Mischung aus Domänencontrollern, die PacRequestorEnforcement-Werte von 1 und 2 haben, ist miteinander kompatibel. Eine Mischung aus Domänencontrollern, die PacRequestorEnforcement-Werte von 0 und 2 haben, ist nicht miteinander kompatibel und kann zu zeitweiligen Fehlern führen. Weitere Informationen finden Sie im Abschnitt „Informationen zum Registrierungsschlüssel“.

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?

Vielen Dank für Ihr Feedback!

×