Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Zusammenfassung

Die Windows-Updates vom 11. Januar 2022 und spätere Windows-Updates fügen Schutzmaßnahmen für CVE-2022-21913 hinzu.

Nachdem Sie die Windows-Updates vom 11. Januar 2022 oder spätere Windows-Updates installiert haben, wird die Advanced Encryption Standard (AES)-Verschlüsselung als bevorzugte Verschlüsselungsmethode auf Windows-Clients festgelegt, wenn Sie das alte Protokoll der lokalen Sicherheitsautorität (Domänenrichtlinie) (MS-LSAD) für vertrauenswürdige Domänenobjekt-Kennwortoperationen verwenden, die über ein Netzwerk gesendet werden. Dies gilt nur, wenn die AES-Verschlüsselung vom Server unterstützt wird. Wenn die AES-Verschlüsselung vom Server nicht unterstützt wird, erlaubt das System ein Fallback auf die alte RC4-Verschlüsselung.

Änderungen in CVE-2022-21913 sind spezifisch für das MS-LSAD-Protokoll. Sie sind unabhängig von anderen Protokollen. MS-LSAD verwendet Server Message Block (SMB) über Remoteprozeduraufruf
(RPC) und Named Pipes. Obwohl SMB auch Verschlüsselung unterstützt, ist sie standardmäßig nicht aktiviert. Standardmäßig sind die Änderungen in CVE-2022-21913 aktiviert und bieten zusätzliche Sicherheit auf der LSAD-Ebene. Außer der Installation der Schutzmaßnahmen für CVE-2022-21913, die in den Windows-Updates vom 11. Januar 2022 und späteren Windows-Updates für alle unterstützten Windows-Versionen enthalten sind, sind keine weiteren Konfigurationsänderungen erforderlich. Nicht unterstützte Versionen von Windows sollten eingestellt oder auf eine unterstützte Version aktualisiert werden. 

Hinweis CVE-2022-21913 ändert nur die Art, wie Vertrauenskennwörter während der Übertragung verschlüsselt werden, wenn Sie bestimmte APIs des MS-LSAD-Protokolls verwenden. Es wird insbesondere nicht geändert, wie Passwörter im Ruhezustand gespeichert werden. Weitere Informationen zur Verschlüsselung von Passwörtern im Ruhezustand in Active Directory und lokal in der SAM-Datenbank (Registry) finden Sie in der Technischen Übersicht über Kennwörter

Weitere Informationen

Änderungen durch die Updates vom 11. Januar 2022 

  • Richtlinienobjektmuster

    Die Updates ändern das Richtlinienobjektmuster des Protokolls, indem eine neue Open Policy-Methode hinzugefügt wird, die es dem Client und dem Server ermöglicht, Informationen über die AES-Unterstützung auszutauschen.

    Alte Methode mit RC4

    Neue Methode mit AES

    LsarOpenPolicy2 (Opnum 44)

    LsarOpenPolicy3 (Opnum 130)

    Eine vollständige Liste der MS-LSAR-Protokoll-Opnums finden Sie unter [MS-LSAD]: Nachrichtenverarbeitungsereignisse und Sequenzierungsregeln.

  • Vertrauenswürdiges Domänenobjektmuster

    Die Updates ändern das Muster zum Erstellen von vertrauenswürdigen Domänenobjekten des Protokolls, indem sie eine neue Methode zum Erstellen einer Vertrauensstellung hinzufügen, die AES zum Verschlüsseln von Authentifizierungsdaten verwendet.

    Die LsaCreateTrustedDomainEx-API wird jetzt die neue Methode bevorzugen, wenn sowohl der Client als auch der Server aktualisiert werden, und ansonsten auf die ältere Methode zurückgreifen.

    Alte Methode mit RC4

    Neue Methode mit AES

    LsarCreateTrustedDomainEx2 (Opnum 59)

    LsarCreateTrustedDomainEx3 (Opnum 129) 

    Die Updates ändern das Muster zum Erstellen von vertrauenswürdigen Domänenobjekten des Protokolls, indem sie zwei neue Trusted Information Classes zu den Methoden LsarSetInformationTrustedDomain (Opnum 27) und LsarSetTrustedDomainInfoByName (Opnum 49) hinzufügen. Sie können die Informationen zu vertrauenswürdigen Domänenobjekten wie folgt festlegen.  

    Alte Methode mit RC4

    Neue Methode mit AES

    LsarSetInformationTrustedDomain (Opnum 27) zusammen mit TrustedDomainAuthInformationInternal oder TrustedDomainFullInformationInternal (hält ein verschlüsseltes Vertrauenskennwort, das RC4 verwendet)

    LsarSetInformationTrustedDomain (Opnum 27) zusammen mit TrustedDomainAuthInformationInternalAes oder TrustedDomainFullInformationAes (hält ein verschlüsseltes Vertrauenskennwort, das AES verwendet)

    LsarSetTrustedDomainInfoByName (Opnum 49) zusammen mit TrustedDomainAuthInformationInternal oder TrustedDomainFullInformationInternal (hält ein verschlüsseltes Vertrauenskennwort, das RC4 und alle anderen Attribute verwendet)

    LsarSetTrustedDomainInfoByName (Opnum 49) zusammen mit TrustedDomainAuthInformationInternalAes oder TrustedDomainFullInformationInternalAes (hält ein verschlüsseltes Vertrauenskennwort, das AES und alle anderen Attribute verwendet)

So funktioniert das neue Verhalten

Die vorhandene Methode LsarOpenPolicy2 wird normalerweise verwendet, um ein Kontext-Handle für den RPC-Server zu öffnen. Dies ist die erste Funktion, die aufgerufen werden muss, um die Remote Protocol-Datenbank der lokalen Sicherheitsbehörde (Domänenrichtlinie) zu kontaktieren. Nach der Installation dieser Updates wird die Methode LsarOpenPolicy2 durch die neue Methode LsarOpenPolicy3 ersetzt. 

Ein aktualisierter Client, der die LsaOpenPolicy-API aufruft, ruft nun zuerst die Methode LsarOpenPolicy3 auf. Wenn der Server nicht aktualisiert wird und die Methode LsarOpenPolicy3 nicht implementiert, greift der Client auf die Methode LsarOpenPolicy2 zurück und verwendet die vorherigen Methoden, die RC4-Verschlüsselung verwenden. 

Ein aktualisierter Server gibt ein neues Bit in der Antwort der Methode LsarOpenPolicy3 zurück, wie in LSAPR_REVISION_INFO_V1 definiert. Weitere Informationen finden Sie in den Abschnitten „AES Cipher Usage“ und „LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES“ in MS-LSAD.

Wenn der Server AES unterstützt, verwendet der Client die neuen Methoden und neuen Informationsklassen für nachfolgende Operationen „create“ (Erstellen) und „set“ (Festlegen) einer vertrauenswürdigen Domäne. Wenn der Server dieses Flag nicht zurückgibt oder der Client nicht aktualisiert wird, greift der Client auf die vorherigen Methoden zurück, die RC4-Verschlüsselung verwenden. 

Ereignisprotokollierung

Die Updates vom 11. Januar 2022 fügen ein neues Ereignis zum Sicherheitsereignisprotokoll hinzu, um nicht aktualisierte Geräte zu identifizieren und die Sicherheit zu verbessern. 

Wert

Bedeutung

Ereignisquelle

Microsoft Windows-Sicherheit 

Ereigniskennung

6425

Ebene 

Informationen

Ereignismeldungstext

Ein Netzwerkclient hat eine Legacy-RPC-Methode verwendet, um Authentifizierungsinformationen für ein vertrauenswürdiges Domänenobjekt zu ändern. Die Authentifizierungsinformationen wurden mit einem Legacy-Verschlüsselungsalgorithmus verschlüsselt. Sie sollten ein Upgrade des Client-Betriebssystems oder der Anwendung vornehmen, um die neueste Methode mit einer verbesserten Sicherheit zu verwenden. 

Vertrauenswürdige Domäne: 

  • Domänenname:
    Domänen-ID:

Geändert von: 

  • Sicherheits-ID:
    Kontoname:
    Kontodomäne:
    Anmeldekennung:

Client-Netzwerkadresse: 
RPC-Methodenname: 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2161080

Häufig gestellte Fragen (FAQ) 

F1: Welche Szenarien lösen ein Downgrade von AES auf RC4 aus? 

A1: Ein Downgrade erfolgt, wenn der Server oder Client AES nicht unterstützt.    

F2: Wie kann ich feststellen, ob RC4-Verschlüsselung oder AES-Verschlüsselung ausgehandelt wurde? 

A2: Aktualisierte Server protokollieren das Ereignis 6425, wenn Legacy-Methoden zum Einsatz kommen, die RC4 verwenden.  

F3: Kann ich AES-Verschlüsselung auf dem Server erforderlich machen, und werden zukünftige Windows-Updates programmgesteuert die Verwendung von AES erzwingen? 

A3: Derzeit ist kein Erzwingungsmodus verfügbar. Es könnte jedoch in Zukunft eine solche Änderung geben, obwohl keine solche Änderung geplant ist. 

F4: Unterstützen Clients von Drittanbietern Schutzmaßnahmen für CVE-2022-21913, um AES auszuhandeln, wenn dies vom Server unterstützt wird? Soll ich mich mit dieser Frage an den Microsoft-Support oder an das Supportteam des Drittanbieters wenden?   

A4: Wenn ein Gerät oder eine Anwendung eines Drittanbieters das MS-LSAD-Protokoll nicht verwendet, ist dies nicht vom Bedeutung. Drittanbieter, die das MS-LSAD-Protokoll implementieren, entscheiden sich möglicherweise für die Implementierung dieses Protokolls. Weitere Informationen erhalten Sie von Ihrem Drittanbieter.  

F5: Müssen zusätzliche Konfigurationsänderungen vorgenommen werden?  

A5: Es sind keine weiteren Konfigurationsänderungen erforderlich.  

F6: Was verwendet dieses Protokoll?   

A6: Das MS-LSAD-Protokoll wird von vielen Windows-Komponenten verwendet, einschließlich Active Directory und Tools wie den Active Directory-Domänen und der Konsole für Vertrauensstellungen. Anwendungen können dieses Protokoll auch über Advapi32-Bibliotheks-APIs verwenden, wie z. B. LsaOpenPolicy oder LsaCreateTrustedDomainEx.

Dazugehörige Dokumentation

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×