Μετάβαση στο κύριο περιεχόμενο
Υποστήριξη
Είσοδος
Είσοδος με Microsoft
Είσοδος ή δημιουργία λογαριασμού.
Γεια σας,
Επιλέξτε διαφορετικό λογαριασμό.
Έχετε πολλούς λογαριασμούς
Επιλέξτε τον λογαριασμό με τον οποίο θέλετε να εισέλθετε.

Σύνοψη

Οι ενημερώσεις της 11ης Ιανουαρίου 2022 Windows και οι νεότερες Windows προσθέτουν προστασία για το CVE-2022-21913.

Μετά την εγκατάσταση της 11ης Ιανουαρίου 2022, Windows ενημερώσεις ή νεότερες Windows ενημερώσεις, η κρυπτογράφηση Advanced Encryption Standard (AES) θα οριστεί ως η προτιμώμενη μέθοδος κρυπτογράφησης στα προγράμματα-πελάτες Windows όταν χρησιμοποιείτε το παλαιού τύπου πρωτόκολλο Τοπικής αρχής ασφαλείας (Πολιτική τομέα) (MS-LSAD) για λειτουργίες αξιόπιστου κωδικού πρόσβασης αντικειμένων τομέα που αποστέλλονται μέσω δικτύου. Αυτό ισχύει μόνο εάν ο διακομιστής υποστηρίζει κρυπτογράφηση AES. Εάν η κρυπτογράφηση AES δεν υποστηρίζεται από το διακομιστή, το σύστημα θα επιτρέψει την εναλλακτική κρυπτογράφηση RC4παλαιού τύπου .

Οι αλλαγές στο CVE-2022-21913 αφορούν συγκεκριμένα το πρωτόκολλο MS-LSAD. Είναι ανεξάρτητες από άλλα πρωτόκολλα. Το MS-LSAD χρησιμοποιεί μπλοκ μηνυμάτων διακομιστή (SMB) μέσω κλήσης
απομακρυσμένης διαδικασίας (RPC) και επώνυμες διοχετεύσεις. Παρόλο που το SMB υποστηρίζει επίσης κρυπτογράφηση, δεν είναι ενεργοποιημένο από προεπιλογή. Από προεπιλογή, οι αλλαγές στο CVE-2022-21913 είναι ενεργοποιημένες και παρέχουν πρόσθετη ασφάλεια στο επίπεδο LSAD. Δεν απαιτούνται πρόσθετες αλλαγές ρύθμισης παραμέτρων πέρα από την εγκατάσταση της προστασίας του CVE-2022-21913 που περιλαμβάνονται στις ενημερώσεις της 11ης Ιανουαρίου 2022 Windows και τις νεότερες Windows ενημερώσεις σε όλες τις υποστηριζόμενες εκδόσεις του Windows. Οι μη υποστηριζόμενες εκδόσεις του Windows θα πρέπει να καταργηθούν ή να αναβαθμιστούν σε μια υποστηριζόμενη έκδοση. 

Σημείωση Το CVE-2022-21913 τροποποιεί μόνο τον τρόπο κρυπτογράφησης των κωδικών πρόσβασης κατά τη μεταφορά κατά τη μεταφορά, όταν χρησιμοποιείτε συγκεκριμένα API του πρωτοκόλλου MS-LSAD και συγκεκριμένα δεν τροποποιεί τον τρόπο αποθήκευσης των κωδικών πρόσβασης σε κατάσταση αδράνειας. Για περισσότερες πληροφορίες σχετικά με τον τρόπο κρυπτογράφησης των κωδικών πρόσβασης σε αδράνεια στην υπηρεσία καταλόγου Active Directory και τοπικά στη βάση δεδομένων SAM (μητρώο), ανατρέξτε στο θέμα Τεχνική επισκόπηση κωδικών πρόσβασης. 

Περισσότερες πληροφορίες

Αλλαγές που έγιναν από τις ενημερώσεις της 11ης Ιανουαρίου 2022 

  • Μοτίβο αντικειμένου πολιτικής

    Οι ενημερώσεις τροποποιούν το μοτίβο αντικειμένου πολιτικής του πρωτοκόλλου, προσθέτοντας μια νέα μέθοδο Πολιτικής Open που επιτρέπει στον υπολογιστή-πελάτη και το διακομιστή να κάνουν κοινή χρήση πληροφοριών σχετικά με την υποστήριξη AES.

    Παλιά μέθοδος με τη χρήση του RC4

    Νέα μέθοδος χρήσης της AES

    LsarOpenPolicy2 (Opnum 44)

    LsarOpenPolicy3 (Opnum 130)

    Για μια πλήρη λίστα των οπών του πρωτοκόλλου MS-LSAR, ανατρέξτε στο θέμα [MS-LSAD]: Συμβάντα επεξεργασίας μηνυμάτων και κανόνες sequencing.

  • Μοτίβο αντικειμένου αξιόπιστου τομέα

    Οι ενημερώσεις τροποποιούν το πρότυπο "Δημιουργία αντικειμένου αξιόπιστου τομέα" του πρωτοκόλλου, προσθέτοντας μια νέα μέθοδο για τη δημιουργία μιας αξιοπιστίας που θα χρησιμοποιεί AES για την κρυπτογράφηση των δεδομένων ελέγχου ταυτότητας.

    Το LsaCreateTrustedDomainEx API θα προτιμά τώρα τη νέα μέθοδο εάν ο υπολογιστής-πελάτης και ο διακομιστής είναι και οι δύο ενημερωμένες και επανάφεραν στην παλαιότερη μέθοδο διαφορετικά.

    Παλιά μέθοδος με τη χρήση του RC4

    Νέα μέθοδος χρήσης της AES

    LsarCreateTrustedDomainEx2 (Opnum 59)

    LsarCreateTrustedDomainEx3 (Opnum 129) 

    Οι ενημερώσεις τροποποιούν το μοτίβο συνόλου αξιόπιστων τομέων του πρωτοκόλλου, προσθέτοντας δύο νέες κατηγορίες αξιόπιστων πληροφοριών στις μεθόδους LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Μπορείτε να ορίσετε τις πληροφορίες αξιόπιστου αντικειμένου τομέα ως εξής.  

    Παλιά μέθοδος με τη χρήση του RC4

    Νέα μέθοδος χρήσης της AES

    LsarSetInformationTrustedDomain (Opnum 27) μαζί με TrustedDomainAuthInformationInternal ή TrustedDomainFullInformationInternal (περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης αξιοπιστίας που χρησιμοποιεί RC4)

    LsarSetInformationTrustedDomain (Opnum 27) μαζί με TrustedDomainAuthInformationInternalAes ή TrustedDomainFullInformationAes (περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης αξιοπιστίας που χρησιμοποιεί AES)

    LsarSetTrustedDomainInfoByName (Opnum 49) μαζί με TrustedDomainAuthInformationInternal ή TrustedDomainFullInformationInternal (περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης αξιοπιστίας που χρησιμοποιεί RC4 και όλα τα άλλα χαρακτηριστικά)

    LsarSetTrustedDomainInfoByName (Opnum 49) μαζί με TrustedDomainAuthInformationInternalAes ή TrustedDomainFullInformationInternalAes (περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης αξιοπιστίας που χρησιμοποιεί AES και όλα τα άλλα χαρακτηριστικά)

Πώς λειτουργεί η νέα συμπεριφορά

Η υπάρχουσα μέθοδος LsarOpenPolicy2 χρησιμοποιείται συνήθως για το άνοιγμα μιας λαβής περιβάλλοντος στο διακομιστή RPC. Αυτή είναι η πρώτη συνάρτηση που πρέπει να καλείται για να επικοινωνήσει με τη βάση δεδομένων απομακρυσμένου πρωτοκόλλου της Τοπικής αρχής ασφαλείας (Πολιτική τομέα). Μετά την εγκατάσταση αυτών των ενημερώσεων, η μέθοδος LsarOpenPolicy2 αντικαθίσταται από τη νέα μέθοδο LsarOpenPolicy3. 

Ένα ενημερωμένο πρόγραμμα-πελάτης που καλεί το LsaOpenPolicy API θα καλέσει τώρα πρώτα τη μέθοδο LsarOpenPolicy3. Εάν ο διακομιστής δεν έχει ενημερωθεί και δεν εφαρμόζει τη μέθοδο LsarOpenPolicy3, το πρόγραμμα-πελάτης επανέρχεται στη μέθοδο LsarOpenPolicy2 και χρησιμοποιεί τις προηγούμενες μεθόδους που χρησιμοποιούν κρυπτογράφηση RC4. 

Ένας ενημερωμένος διακομιστής θα επιστρέψει ένα νέο bit στην απόκριση μεθόδου LsarOpenPolicy3, όπως ορίζεται στο LSAPR_REVISION_INFO_V1. Για περισσότερες πληροφορίες, ανατρέξτε στις ενότητες "Χρήση αρχείων AES Cipher" και "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" στο ms-LSAD.

Εάν ο διακομιστής υποστηρίζει AES, το πρόγραμμα-πελάτης θα χρησιμοποιήσει τις νέες μεθόδους και νέες κατηγορίες πληροφοριών για τις επακόλουθες λειτουργίες "δημιουργίας" και "συνόλου". Εάν ο διακομιστής δεν επιστρέψει αυτήν τη σημαία ή εάν το πρόγραμμα-πελάτης δεν ενημερωθεί, το πρόγραμμα-πελάτης θα επιστρέψει στη χρήση των προηγούμενων μεθόδων που χρησιμοποιούν κρυπτογράφηση RC4. 

Καταγραφή συμβάντων

Οι ενημερώσεις της 11ης Ιανουαρίου 2022 προσθέτουν ένα νέο συμβάν στο αρχείο καταγραφής συμβάντων ασφαλείας για να βοηθήσουν στον προσδιορισμό των συσκευών που δεν ενημερώνονται και για τη βελτίωση της ασφάλειας. 

Τιμή

Έννοια

Προέλευση συμβάντος

Microsoft-Windows-Security 

Αναγνωριστικό συμβάντος

6425

Επίπεδο 

Πληροφορίες

Κείμενο μηνύματος συμβάντος

Ένα πρόγραμμα-πελάτης δικτύου χρησιμοποίησε μια μέθοδο RPC παλαιού τύπου για την τροποποίηση πληροφοριών ελέγχου ταυτότητας σε ένα αξιόπιστο αντικείμενο τομέα. Οι πληροφορίες ελέγχου ταυτότητας κρυπτογραφούνταν με έναν αλγόριθμο κρυπτογράφησης παλαιού τύπου. Εξετάστε το ενδεχόμενο αναβάθμισης του λειτουργικού συστήματος ή της εφαρμογής προγράμματος-πελάτη, για να χρησιμοποιήσετε την πιο πρόσφατη και πιο ασφαλή έκδοση αυτής της μεθόδου. 

Αξιόπιστος τομέας: 

  • Όνομα τομέα:
    Αναγνωριστικό τομέα:

Τροποποίηση από: 

  • Αναγνωριστικό ασφαλείας:
    Όνομα λογαριασμού:
    Τομέας λογαριασμού:
    Αναγνωριστικό σύνδεσης:

Διεύθυνση δικτύου πελάτη:
Όνομα μεθόδου RPC: 

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2161080.

Συνήθεις ερωτήσεις 

Ε1: Ποια σενάρια ενεργοποιούν την υποβάθμιση από AES σε RC4; 

A1: Μια υποβάθμιση προκύπτει εάν ο διακομιστής ή το πρόγραμμα-πελάτης δεν υποστηρίζει AES.    

Ε2: Πώς μπορώ να διαπιστώσω εάν έγινε διαπραγμάτευση κρυπτογράφησης RC4 ή κρυπτογράφησης AES; 

A2: Οι ενημερωμένοι διακομιστές θα καταγράψουν το συμβάν 6425 όταν χρησιμοποιούνται μέθοδοι παλαιού τύπου που χρησιμοποιούν RC4.  

Ε3: Μπορώ να απαιτήσω κρυπτογράφηση AES στο διακομιστή και θα Windows ενημερώσεις μέσω προγραμματισμού, χρησιμοποιώντας AES; 

A3: Προς το παρόν, δεν υπάρχει διαθέσιμη λειτουργία επιβολής μέτρων. Ωστόσο, ενδέχεται να υπάρξει στο μέλλον, αν και δεν έχει προγραμματιστεί κάποια τέτοια αλλαγή. 

Ε4: Υποστηρίζουν προστασία από προγράμματα-πελάτες άλλων κατασκευαστών για το CVE-2022-21913 για να διαπραγματευτούν τις υπηρεσίες AES όταν υποστηρίζονται από το διακομιστή; Πρέπει να επικοινωνήσω με την Υποστήριξη της Microsoft ή την ομάδα υποστήριξης τρίτων για να αποποιήσω αυτή την ερώτηση;   

A4: Εάν μια συσκευή ή εφαρμογή άλλου κατασκευαστή δεν χρησιμοποιεί το πρωτόκολλο MS-LSAD, αυτό δεν έχει σημασία. Οι τρίτοι προμηθευτές που υλοποιούν το πρωτόκολλο MS-LSAD ενδέχεται να επιλέξουν την υλοποίηση αυτού του πρωτοκόλλου. Για περισσότερες πληροφορίες, επικοινωνήστε με τον τρίτο προμηθευτή.  

Ε5: Πρέπει να γίνουν πρόσθετες αλλαγές ρύθμισης παραμέτρων;  

A5: Δεν απαιτούνται πρόσθετες αλλαγές ρύθμισης παραμέτρων.  

Ε6: Τι χρησιμοποιεί αυτό το πρωτόκολλο;   

A6: Το πρωτόκολλο MS-LSAD χρησιμοποιείται από πολλά Windows στοιχεία, συμπεριλαμβανομένης της υπηρεσίας καταλόγου Active Directory και εργαλείων, όπως οι τομείς της υπηρεσίας καταλόγου Active Directory και η κονσόλα αξιοπιστίας. Οι εφαρμογές μπορούν επίσης να χρησιμοποιήσουν αυτό το πρωτόκολλο μέσω API βιβλιοθήκης advapi32, όπως το LsaOpenPolicy ή το LsaCreateTrustedDomainEx.

Σχετική τεκμηρίωση

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με τη γλωσσική ποιότητα;
Τι επηρέασε την εμπειρία σας;
Πατώντας "Υποβολή" τα σχόλια σας θα χρησιμοποιηθούν για τη βελτίωση των προϊόντων και των υπηρεσιών της Microsoft. Ο διαχειριστής IT θα έχει τη δυνατότητα να συλλέξει αυτά τα δεδομένα. Δήλωση προστασίας προσωπικών δεδομένων.

Σας ευχαριστούμε για τα σχόλιά σας!

×