Kokkuvõte
11. jaanuaril 2022 Windows ja uuemates versioonides Windows CVE-2022-21913 kaitsed.
Pärast 11. jaanuari 2022, Windows-i värskenduste või uuemate värskenduste Windows installimist määratakse täiustatud krüptimisstandardi (AES) krüptimine Windows-klientklientide jaoks eelistatud krüptimismeetodiks, kui kasutate usaldusväärsete domeeniobjektide paroolitoimingute jaoks ms-LSAD -protokolli (MS-LSAD), mis saadetakse võrgu kaudu. See kehtib ainult juhul, kui server toetab AES-krüptimist. Kui server ei toeta AES-krüptimist, lubab süsteem pärand-RC4-krüptimise tagasipööramise.
CVE-2022-21913 muudatused on seotud MS-LSAD-protokolliga. Need ei sõltu muudest protokollidest. MS-LSAD kasutab kaugprotseduurikutse korral serveri sõnumiplokki (SMB)
(RPC) ja nimega torud. Kuigi SMB toetab ka krüptimist, pole see vaikimisi lubatud. Vaikimisi on CVE-2022-21913 muudatused lubatud ja pakuvad LSAD-kihis täiendavat turvalisust. Lisaks CVE-2022-21913 kaitsele, mis sisaldub 11. jaanuaril 2022, Windows värskendustes ja uuemates versioonides, pole vaja täiendavaid konfiguratsioonimuudatusi Windows värskendused kõigis toetatud Windows. Toetuseta versiooni Windows tuleks lõpetada või täiendada toetatud versiooniks.
Märkus. CVE-2022-21913 muudab ainult seda, kuidas usaldusväärsed paroolid krüptitakse transiidi ajal, kui kasutate MS-LSAD-protokolli konkreetseid API-sid, ja konkreetselt ei muuda paroolide talletamisviise puhkeajas. Lisateavet paroolide krüptimise kohta Active Directorys ja kohalikult SAM-andmebaasis (registris) leiate teemast Paroolide tehniline ülevaade.
Lisateave
11. jaanuaril 2022 tehtud muudatused, värskendused
-
Poliitikaobjekti muster
Värskendused muudavad protokolli poliitikaobjekti mustrit, lisades uue avamispoliitika meetodi, mis võimaldab kliendil ja serveril jagada teavet AES-i toe kohta.Vana meetod RC4 abil
Uus meetod AES-i abil
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
MS-LSAR-protokolli opnums täieliku loendi leiate teemast [MS-LSAD]: Message Processing Events and Sequencing Rules.
-
Usaldusväärsete domeeniobjektide muster
Värskendused muudavad usaldusväärse domeeni objekti loomiseks protokolli mustrit, lisades uue meetodi, et luua usaldus, mis kasutab AES-i autentimisandmete krüptimiseks.
Rakendus LsaCreateTrustedDomainEx API eelistab nüüd uut meetodit, kui klientrakendust ja serverit värskendatakse ning kui see läheb tagasi vanemale meetodile.
Vana meetod RC4 abil
Uus meetod AES-i abil
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Värskendused muudavad protokolli usaldusväärse domeeni objektikomplekti mustrit, lisades LsarSetInformationTrustedDomaini (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49) meetodile kaks uut usaldusväärse teabe klassi. Usaldusväärsete domeeniobjektide teabe saate määrata järgmiselt.
Vana meetod RC4 abil
Uus meetod AES-i abil
LsarSetInformationTrustedDomain (Opnum 27) ja TrustedDomainAuthInformationInternal või TrustedDomainFullInformationInternal (sisaldab krüptitud usaldusparooli, mis kasutab RC4)
LsarSetInformationTrustedDomain (Opnum 27) ja TrustedDomainAuthInformationInternalAes või TrustedDomainFullInformationAes (sisaldab krüptitud usaldusparooli, mis kasutab AES-i)
LsarSetTrustedDomainInfoByName (Opnum 49) koos funktsiooniga TrustedDomainAuthInformationInternal või TrustedDomainFullInformationInternal (sisaldab krüptitud usaldusparooli, mis kasutab RC4 ja kõiki muid atribuute)
LsarSetTrustedDomainInfoByName (Opnum 49) koos funktsiooniga TrustedDomainAuthInformationInternalAes või TrustedDomainFullInformationInternalAes (sisaldab krüptitud usaldusparooli, mis kasutab AES-i ja kõiki muid atribuute)
Kuidas uus käitumine toimib?
Olemasolevat LsarOpenPolicy2 meetodit kasutatakse tavaliselt RPC-serveri kontekstipideme avamiseks. See on esimene funktsioon, mida tuleb kutsuda pöörduma andmebaasi Local Security Authority (Domain Policy) Remote Protocol poole. Pärast nende värskenduste installimist asendatakse meetod LsarOpenPolicy2 uue meetodiga LsarOpenPolicy3.
Värskendatud klient, mis kutsub LsaOpenPolicy API-d, helistab nüüd esmalt meetodile LsarOpenPolicy3. Kui serverit ei värskendata ja see ei rakenda meetodit LsarOpenPolicy3, läheb klient tagasi LsarOpenPolicy2 meetodile ja kasutab varasemaid RC4-krüptimist kasutav meetod.
Värskendatud server tagastab uue biti meetodi LsarOpenPolicy3 vastuses, nagu on määratletud LSAPR_REVISION_INFO_V1. Lisateavet leiate MS-LSADjaotistest "AES-LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" ja "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES".
Kui server toetab AES-i, kasutab klient uusi meetodeid ja uusi teabeklasse järgmiste usaldusväärsete domeenide loomiseks ja komplekti tegemiseks. Kui server ei tagasta seda lippu või klienti ei värskendata, kasutab klient uuesti RC4-krüptimist kasutavad varasemad meetodid.
Sündmuste logimine
11. jaanuaril 2022 lisatakse turbesündmuste logisse uus sündmus, mis aitab tuvastada seadmeid, mida ei värskendata ja mis aitavad turvalisust parandada.
Väärtus |
Tähendus |
---|---|
Sündmuse allikas |
Microsoft-Windows-Security |
Sündmuse ID |
6425 |
Tase |
Teave |
Sündmusesõnumi tekst |
Võrguklient kasutas usaldusväärse domeeniobjekti autentimisteabe muutmiseks pärandmeetodit RPC. Autentimisteave on krüptitud pärandkrüptimisalgoritmiga. Kaaluge kliendi opsüsteemi või rakenduse täiendamist, et kasutada selle meetodi uusimat ja turvalisemat versiooni. Usaldusväärne domeen:
Muudetud:
Kliendi võrguaadress: Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2161080. |
Korduma kippuvad küsimused (KKK)
1. küsimus. Millised stsenaariumid käivitavad AES-ilt RC4-le alandamise?
A1: Kui server või klient ei toeta AES-i, ilmneb allavahetatu.
2. küsimus. Kuidas teha kindlaks, kas RC4 krüptimine või AES-krüptimine on läbi räägitud?
A2: Värskendatud serverid logivad sündmuse 6425, kui kasutatakse pärandmeetodeid, mis kasutavad RC4.
Küsimus 3. Kas serveris saab AES-i krüptimist nõuda ja kas tulevikus Windows AES-i abil programmiliselt jõustada?
A3: Praegu pole jõustamisrežiim saadaval. Siiski võib juhtuda, et tulevikus selliseid muudatusi ei plaanita.
K4. Kas kolmanda osapoole kliendid toetavad CVE-2022-21913 kaitseid, et pidada AES-i üle läbirääkimisi, kui server seda toetab? Kas peaksin selle küsimuse lahendamiseks pöörduma Microsofti toe või kolmanda osapoole tugimeeskonna poole?
A4: Kui muu tootja seade või rakendus ei kasuta MS-LSAD protokolli, pole see oluline. Kolmanda osapoole tarnijad, kes juurutavad PROTOKOLLI MS-LSAD, võivad otsustada selle protokolli rakendada. Lisateabe saamiseks pöörduge kolmanda osapoole tarnija poole.
Küsimus 5. Kas tuleb teha täiendavaid konfiguratsioonimuudatusi?
A5: Täiendavaid konfiguratsioonimuudatusi pole vaja teha.
Küsimus 6. Mis kasutab seda protokolli?
A6: MS-LSAD protokolli kasutavad paljud Windows(sh Active Directory) ja tööriistad (nt Active Directory domeenid ja usalduskonsool). Rakendused võivad seda protokolli kasutada ka advapi32 teegi API-de (nt LsaOpenPolicy või LsaCreateTrustedDomainEx) kaudu.