KB5021130: Τρόπος διαχείρισης των αλλαγών του πρωτοκόλλου Netlogon που σχετίζονται με το CVE-2022-38023

Η αρχική φάση ανάπτυξης ξεκινά με τις ενημερώσεις που κυκλοφόρησαν στις 8 Νοεμβρίου 2022 και συνεχίζεται με μεταγενέστερες ενημερώσεις των Windows μέχρι τη φάση επιβολής. Οι ενημερώσεις των Windows στις ή μετά τις 8 Νοεμβρίου 2022 αντιμετωπίζουν την ευπάθεια παράκαμψης ασφαλείας CVE-2022-38023 επιβάλλοντας σφράγιση RPC σε όλα τα προγράμματα-πελάτες Windows.

Από προεπιλογή, οι συσκευές θα ορίζονται σε κατάσταση λειτουργίας συμβατότητας. Οι ελεγκτές τομέα των Windows θα απαιτήσουν από τους υπολογιστές-πελάτες Του Netlogon να χρησιμοποιούν σφραγίδα RPC εάν εκτελούν τα Windows ή εάν ενεργούν είτε ως ελεγκτές τομέα είτε ως λογαριασμοί αξιοπιστίας.

Οι ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 11 Απριλίου 2023 θα καταργήσουν τη δυνατότητα απενεργοποίησης της σφράγισης RPC ορίζοντας την τιμή 0 στο δευτερεύον κλειδί μητρώου RequireSeal .

Το δευτερεύον κλειδί μητρώου RequireSeal θα μετακινηθεί στην ισχύουσα κατάσταση λειτουργίας, εκτός εάν οι διαχειριστές ρυθμίσουν ρητά τις παραμέτρους ώστε να βρίσκονται σε κατάσταση λειτουργίας συμβατότητας. Δεν θα επιτρέπεται ο έλεγχος ταυτότητας για τις ευάλωτες συνδέσεις από όλους τους υπολογιστές-πελάτες, συμπεριλαμβανομένων των τρίτων. Ανατρέξτε στο θέμα Αλλαγή 1.

Οι ενημερώσεις των Windows που κυκλοφόρησαν στις 11 Ιουλίου 2023 θα καταργήσουν τη δυνατότητα ρύθμισης της τιμής 1 στο δευτερεύον κλειδί μητρώου RequireSeal . Αυτό ενεργοποιεί τη φάση επιβολής του CVE-2022-38023.

Εάν βρείτε αυτό το μήνυμα σφάλματος στα αρχεία καταγραφής συμβάντων, πρέπει να κάνετε τις ακόλουθες ενέργειες για να επιλύσετε το σφάλμα συστήματος:

• Επιβεβαιώστε ότι η συσκευή εκτελεί μια υποστηριζόμενη έκδοση των Windows.

• Ελέγξτε για να βεβαιωθείτε ότι όλες οι συσκευές είναι ενημερωμένες.

• Ελέγξτε για να βεβαιωθείτε ότι η επιλογή Μέλος τομέα: Μέλος τομέα Κρυπτογραφήστε ψηφιακά ή υπογράψτε δεδομένα ασφαλούς καναλιού (πάντα) έχει οριστεί σε Ενεργοποιημένο .

Εάν βρείτε το Συμβάν 5840, αυτό είναι ένα σημάδι ότι ένας πελάτης στον τομέα σας χρησιμοποιεί αδύναμη κρυπτογράφηση.

Εάν βρείτε το συμβάν 5841, αυτό είναι ένα σημάδι ότι η τιμή RejectMD5Clients έχει οριστεί σε TRUE .

Το κλειδί RejectMD5Clients είναι ένα προϋπάρχον κλειδί στην υπηρεσία Netlogon. Για περισσότερες πληροφορίες, ανατρέξτε στην περιγραφή RejectMD5Clients του αφηρημένου μοντέλου δεδομένων.

Όλοι οι λογαριασμοί υπολογιστή που συνδέονται με τομέα επηρεάζονται από αυτό το CVE. Τα συμβάντα θα εμφανίζουν ποιος επηρεάζεται περισσότερο από αυτό το πρόβλημα μετά την εγκατάσταση των ενημερώσεων των Windows στις 8 Νοεμβρίου 2022 ή μεταγενέστερων. Ελέγξτε την ενότητα σφαλμάτων του αρχείου καταγραφής συμβάντων για να αντιμετωπίσετε τα προβλήματα.

Για να βοηθήσει στον εντοπισμό παλαιότερων πελατών που δεν χρησιμοποιούν το ισχυρότερο διαθέσιμο κρυπτονόμισμα, αυτή η ενημέρωση παρουσιάζει αρχεία καταγραφής συμβάντων για υπολογιστές-πελάτες που χρησιμοποιούν RC4.

Η υπογραφή RPC είναι όταν το πρωτόκολλο Netlogon χρησιμοποιεί RPC για την υπογραφή των μηνυμάτων που στέλνει μέσω καλωδίου. Η σφράγιση RPC είναι όταν το πρωτόκολλο Netlogon υπογράφει και κρυπτογραφεί τα μηνύματα που στέλνει μέσω του καλωδίου.

Ο ελεγκτής τομέα των Windows καθορίζει εάν ένας υπολογιστής-πελάτης Netlogon εκτελεί τα Windows, εξετάζοντας το χαρακτηριστικό "Λειτουργικό σύστημα" στην υπηρεσία καταλόγου Active Directory για το πρόγραμμα-πελάτη Netlogon και ελέγχοντας για τις ακόλουθες συμβολοσειρές:

• "Windows", "Hyper-V Server" και "Azure Stack HCI"

Δεν συνιστάται ούτε υποστηρίζεται η αλλαγή αυτού του χαρακτηριστικού από τους υπολογιστές-πελάτες του Netlogon ή τους διαχειριστές τομέα σε μια τιμή που δεν είναι αντιπροσωπευτική του λειτουργικού συστήματος (ΛΣ) που εκτελείται στο πρόγραμμα-πελάτη Netlogon. Θα πρέπει να γνωρίζετε ότι ενδέχεται να αλλάξουμε τα κριτήρια αναζήτησης ανά πάσα στιγμή. Ανατρέξτε στο θέμα Αλλαγή 3.

Η φάση επιβολής δεν απορρίπτει τα προγράμματα-πελάτες Του Netlogon με βάση τον τύπο κρυπτογράφησης που χρησιμοποιούν οι υπολογιστές-πελάτες. Θα απορρίψει τους πελάτες Netlogon μόνο εάν κάνουν υπογραφή RPC αντί για σφράγιση RPC. Η απόρριψη των πελατών RC4 Netlogon βασίζεται στο κλειδί μητρώου "RejectMd5Clients" που διατίθεται στον Windows Server 2008 R2 και σε μεταγενέστερους ελεγκτές τομέα των Windows. Η φάση επιβολής για αυτήν την ενημέρωση δεν αλλάζει την τιμή "RejectMd5Clients". Συνιστάται στους πελάτες να ενεργοποιήσουν την τιμή "RejectMd5Clients" για μεγαλύτερη ασφάλεια στους τομείς τους. Ανατρέξτε στο θέμα Αλλαγή 3.

Το Advanced Encryption Standard (AES) είναι ένα κρυπτογράφηση μπλοκ που υπερισχύει του Προτύπου κρυπτογράφησης δεδομένων (DES). Το AES μπορεί να χρησιμοποιηθεί για την προστασία ηλεκτρονικών δεδομένων. Ο αλγόριθμος AES μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση (κρυπτογράφηση) και αποκρυπτογράφηση (αποκρυπτογράφηση) πληροφοριών. Η κρυπτογράφηση μετατρέπει τα δεδομένα σε μια ακατανόητη μορφή που ονομάζεται κρυπτογραφημένο κείμενο. η αποκρυπτογράφηση του κρυπτογραφημένου κειμένου μετατρέπει ξανά τα δεδομένα στην αρχική τους μορφή, που ονομάζεται απλό κείμενο. Το AES χρησιμοποιείται στην κρυπτογράφηση συμμετρικού κλειδιού, που σημαίνει ότι χρησιμοποιείται το ίδιο κλειδί για τις λειτουργίες κρυπτογράφησης και αποκρυπτογράφησης. Είναι επίσης ένα κρυπτογράφηση μπλοκ, που σημαίνει ότι λειτουργεί σε μπλοκ σταθερού μεγέθους απλού κειμένου και κρυπτογράφησης και απαιτεί το μέγεθος του απλού κειμένου καθώς και το κρυπτογραφημένο κείμενο να είναι ένα ακριβές πολλαπλάσιο αυτού του μεγέθους μπλοκ. Το AES είναι επίσης γνωστό ως ο συμμετρικός αλγόριθμος κρυπτογράφησης Rijndael [FIPS197] .

Σε ένα περιβάλλον ασφαλείας δικτύου συμβατό με λειτουργικό σύστημα Windows NT, το στοιχείο που είναι υπεύθυνο για τις λειτουργίες συγχρονισμού και συντήρησης μεταξύ ενός πρωτεύοντα ελεγκτή τομέα (PDC) και των αντιγράφων ασφαλείας ελεγκτών τομέα (BDC). Το Netlogon είναι ένας πρόδρομος του πρωτοκόλλου του διακομιστή αναπαραγωγής καταλόγου (DRS). Το περιβάλλον εργασίας κλήσης απομακρυσμένης διαδικασίας (RPC) του Απομακρυσμένου πρωτοκόλλου Netlogon χρησιμοποιείται κυρίως για τη διατήρηση της σχέσης μεταξύ μιας συσκευής και του τομέα της και των σχέσεων μεταξύ ελεγκτών τομέα (DCs) και τομέων. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Απομακρυσμένο πρωτόκολλο Netlogon.

Το RC4-HMAC (RC4) είναι ένας μεταβλητός αλγόριθμος συμμετρικής κρυπτογράφησης μήκους κλειδιού. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα [SCHNEIER] 17.1.

Μια σύνδεση κλήσης απομακρυσμένης διαδικασίας (RPC) με έλεγχο ταυτότητας μεταξύ δύο υπολογιστών σε έναν τομέα με ένα καθιερωμένο περιβάλλον ασφαλείας που χρησιμοποιείται για την υπογραφή και την κρυπτογράφηση πακέτων RPC .