Kokkuvõte

CVE-2022-34691, CVE-2022-26931 ja CVE-2022-26923 lahendab õiguste laiendamise nõrkuse, mis võib ilmneda, kui Kerberose levikeskus (KDC) teenindab serdipõhist autentimistaotlust. Enne 10. mai 2022 turbevärskendust ei arvestata serdipõhist autentimist dollarimärgi ($) jaoks arvuti nime lõpus. See võimaldas seotud serte mitmel viisil emuleerida (tüdida). Lisaks tutvustasid kasutaja turvasubjektide nimede (UPN) ja sAMAccountName vahelised konfliktid muid emuleerimise (tükeldi) nõrkusi, millega tegeleme ka selle turbevärskendusega.

Tegutsemine

Oma keskkonna kaitsmiseks tehke serdipõhise autentimise jaoks järgmist.

  1. Värskendage kõik serverid, mis käitavad Active Directory serditeenuseid ja Windowsi domeenikontrollereid, mis kasutavad teenuse serdipõhist autentimist 2022. aasta 10. mai värskendusega (vt ühilduvusrežiim). 10. mai 2022 värskendus pakub auditisündmusi , mis tuvastavad serdid, mis ei ühildu täieliku jõustamise režiimiga.

  2. Kui domeenikontrollerites ei looda ühe kuu jooksul pärast värskenduse installimist auditisündmuste logisid, jätkake kõigi domeenikontrollerite täieliku jõustamisrežiimi lubamisega. 9. maiks 2023 värskendatakse kõik seadmed täieliku jõustamise režiimile. Kui selles režiimis nurjub sert keerukate (turvaliste) vastenduskriteeriumidega (vt serdivastendusi), keelatakse autentimine.

Auditisündmused

10. mai 2022 Windows Update lisab järgmised sündmuselogid.

Tugevaid serdivastendusi ei leitud ja serdiga polnud uut turbeidentifikaatori (SID) laiendust, mida KDC sai valideerida.

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus, kui KDC on ühilduvusrežiimis

Tõrge, kui KDC on jõustamisrežiimis

Sündmuse allikas

Kdcsvc

Sündmuse ID

39

41 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes kehtiv kasutajasert, mida ei saanud kasutajaga tugevalt vastendada (nt otseste vastenduste, võtmeusaldusvastenduse või SID kaudu). Need serdid tuleks kas otse kasutajaga otse vastendada või otse vastendada. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2189925.

Kasutaja: <põhinimi>

Serdi teema: <teema nimi serdis>

Serdi väljaandja: <väljaandja täielik domeeninimi (FQDN)>

Serdi seerianumber: <serdi seerianumber>

Serdi sõrmejälg:> serdi sõrmejälg <

Sert väljastati kasutajale enne kasutaja Active Directorys olemasolu ja tugevat vastendust ei leitud. See sündmus logitakse ainult siis, kui KDC on ühilduvusrežiimis.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Kdcsvc

Sündmuse ID

40

48 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes kehtiv kasutajasert, mida ei saanud kasutajaga tugevalt vastendada (nt otseste vastenduste, võtmeusaldusvastenduse või SID kaudu). Sert eelnes ka vastendatud kasutajale, seega lükati sert tagasi. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2189925.

Kasutaja: <põhinimi>

Serdi teema: <teema nimi serdis>

Serdi väljaandja: <väljaandja FQDN>

Serdi seerianumber: <serdi seerianumber>

Serdi sõrmejälg:> serdi sõrmejälg <

Serdi väljaandmisaeg: <serdi> FILETIME

Konto loomise aeg: <AD> põhiobjekti FILETIME

Kasutajaserdi uues laiendis sisalduv SID ei vasta kasutaja SID-le, mis tähendab, et sert on väljastatud teisele kasutajale.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Kdcsvc

Sündmuse ID

41

49 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes kehtiv kasutajasert, mis sisaldas teistsugust SID-d kui see, millega see vastendati. Selle tulemusena nurjus serti sisaldav päring. Lisateavet leiate https://go.microsoft.cm/fwlink/?linkid=2189925.

Kasutaja: <põhinimi>

Kasutaja SID: <autentiva põhi-> SID

Serdi teema: <teema nimi serdis>

Serdi väljaandja: <väljaandja FQDN>

Serdi seerianumber: <serdi seerianumber>

Serdi sõrmejälg:> serdi sõrmejälg <

Serdi SID: <SID, mis leiti uues serdilaiendi>

Sertide vastendused

Domeeniadministraatorid saavad serte Active Directory kasutajaga käsitsi vastestada, kasutades kasutaja objekti atribuuti altSecurityIdentities . Sellel atribuudil on kuus toetatud väärtust, kusjuures kolme vastendust peetakse nõrgaks (ebakindlaks) ja ülejäänud kolme tugevaks. Üldiselt peetakse vastendustüüpe tugevaks, kui need põhinevad identifikaatoritel, mida te ei saa uuesti kasutada. Seetõttu peetakse kõiki kasutajanimedel ja meiliaadressidel põhinevaid vastendustüüpe nõrgaks.

Kaardistamine

Näide

Tüüp

Märkused

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Nõrk

X509SubjectOnly

"X509:<S>SubjectName"

Nõrk

X509RFC822

"X509:<RFC822>user@contoso.com"

Nõrk

Meiliaadress

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Tugev

Soovitatud

X509SKI

"X509:<SKI>123456789abcdef"

Tugev

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Tugev

Kui kliendid ei saa uue SID-laiendiga serte uuesti välja anda, soovitame luua käsitsi vastenduse, kasutades ühte ülalkirjeldatud tugevatest vastendustest. Selleks lisage active Directory atribuudile altSecurityIdentities sobiv vastendusstring.

Märkus Teatud väljad (nt Väljaandja, Teema ja Seerianumber) esitatakse edasisaatmisvormingus. Kui lisate vastendusstringi atribuudile altSecurityIdentities , peate selle vormingu tühistama. Näiteks vastenduse X509IssuerSerialNumber kasutajale lisamiseks otsige kasutajaga vastendatava serdi välju Väljaandja ja Seerianumber. Vaadake allpool näidisväljundit.

  • Väljaandja: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC000000012

Seejärel värskendage kasutaja atribuut altSecurityIdentities Active Directorys järgmise stringiga:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Selle atribuudi värskendamiseks Powershelli abil võite kasutada allolevat käsku. Pidage meeles, et vaikimisi on selle atribuudi värskendamiseks õigus ainult domeeniadministraatoritel.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Pange tähele, et SerialNumber pööramisel peate säilitama baidijärjestuse. See tähendab, et SerialNumber "A1B2C3" tagasipööramine peaks andma tulemuseks stringi "C3B2A1" ja mitte "3C2B1A". Lisateavet leiate teemast HowTo: kasutaja vastendamine serdiga kõigi meetodite abil, mis on saadaval atribuudis altSecurityIdentities.

Windowsi värskenduste ajaskaala

Kui olete installinud 10. mai 2022 Windowsi värskendused, on seadmed ühilduvusrežiimis. Kui serti saab kasutajaga tugevalt vastendada, toimub autentimine ootuspäraselt. Kui serti saab vastendada ainult kasutajaga nõrgalt, toimub autentimine ootuspäraselt. Hoiatusteade logitakse siiski juhul, kui sert pole kasutajast vanem. Kui sert on vanem kui kasutaja ja serdi varundamise registrivõtit pole või kui vahemik on väljaspool varundamishüvitist, siis autentimine nurjub ja logitakse tõrketeade.  Kui serdi varundamise registrivõti on konfigureeritud, logib see sündmuselogisse hoiatusteate, kui kuupäevad jäävad varundamishüvitisse.

Pärast 10. mai 2022 Windowsi värskenduste installimist vaadake mis tahes hoiatusteadet, mis võidakse kuvada kuu aja pärast või kauem. Kui hoiatusteateid pole, soovitame tungivalt lubada täieliku jõustamise režiimi kõigis domeenikontrollerites, kasutades serdipõhist autentimist. Täieliku jõustamisrežiimi lubamiseks saate kasutada KDC registrivõtit .

Kui seda režiimi varem ei värskendata, värskendame kõik seadmed 9. maiks 2023 täieliku jõustamise režiimile. Kui serti ei saa tugevalt vastendada, keelatakse autentimine.

Kui serdipõhine autentimine tugineb nõrgale vastendusele, mida ei saa keskkonnast teisaldada, saate domeenikontrollerid paigutada keelatud režiimis registrivõtme sätte abil. Microsoft ei soovita seda ja me eemaldame keelatud režiimi 14. veebruaril 2023.

Tõrkeotsing

  • Kasutage vastava arvuti Kerberose töölogi, et teha kindlaks, milline domeenikontroller sisselogimist ei tee. Avage Sündmusevaatur> Rakenduste ja teenuste logid\Microsoft \Windows\Security-Kerberos\Operational.

  • Otsige asjakohaseid sündmusi domeenikontrolleri süsteemisündmuste logist, mille vastu konto proovib autentimist.

  • Kui sert on kontost vanem, andke sert uuesti või lisage kontole turvaline vastendus AltSecurityIdentities (vt Serdivastendused).

  • Kui sert sisaldab SID laiendit, kontrollige, kas SID vastab kontole.

  • Kui serti kasutatakse mitme erineva konto autentimiseks, on igal kontol vaja eraldi vastendust altSecurityIdentities .

  • Kui serdiga pole kontoga turvalist vastendust, lisage see või jätke domeen ühilduvusrežiimi, kuni selle saab lisada.

Näide TLS-serdi vastendusest kasutab IIS-i sisevõrgu veebirakendust.

  • Pärast CVE-2022-26391 ja CVE-2022-26923 kaitse installimist kasutavad need stsenaariumid vaikimisi Serdi vastendamiseks ja autentimiseks Kerberose serditeenust kasutaja (S4U) jaoks.

  • Kerberose serdi S4U protokollis voolab autentimistaotlus rakendusserverist domeenikontrollerisse, mitte kliendist domeenikontrollerisse. Seetõttu on asjakohased sündmused rakenduse serveris.

Registrivõtme teave

Pärast CVE-2022-26931 ja CVE-2022-26923 kaitset Windowsi värskendustes, mis on välja antud vahemikus 10. mai 2022 kuni 9. mai 2023, on saadaval järgmised registrivõtmed.

See registrivõti muudab KDC jõustamisrežiimiks keelatud režiimi, ühilduvusrežiimi või täieliku jõustamise režiimi.

Tähtis!

Selle registrivõtme kasutamine on ajutine lahendus keskkondadele, mis seda nõuavad ja mida tuleb teha ettevaatlikult. Selle registrivõtme kasutamine tähendab teie keskkonna jaoks järgmist.

  • See registrivõti töötab ainult ühilduvusrežiimis alates 10. maist 2022 välja antud värskendustest.

  • Registrivõtit ei toetata pärast 9. mail 2023 välja antud Windowsi värskenduste installimist, mis lubab täieliku jõustamisrežiimi.

Registri alamvõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Väärtus

StrongCertificateBindingEnforcement

Andmetüüp

REG_DWORD

Andmed

1 – kontrollib, kas on olemas tugev serdivastendus. Kui jah, on autentimine lubatud. Muul juhul kontrollib KDC, kas serdil on uus SID laiend, ja valideerib selle. Kui seda laiendit pole, on autentimine lubatud, kui kasutajakonto eeldab serti.

2 – kontrollib, kas on olemas tugev serdivastendus. Kui jah, on autentimine lubatud. Muul juhul kontrollib KDC, kas serdil on uus SID laiend, ja valideerib selle. Kui seda laiendit pole, on autentimine keelatud.

0 – keelab keeruka serdivastenduse kontrolli. Pole soovitatav, kuna see keelab kõik turbetäiustused.

Kui määrate väärtuseks 0, peate arvuti serdipõhise autentimise õnnestumiseks seadma ka sätte CertificateMappingMethods väärtuseks 0x1F, nagu on kirjeldatud allpool jaotises Schanneli registrivõti.

Kas taaskäivitamine on nõutav?

Ei

Kui serverirakendus nõuab kliendi autentimist, proovib Schannel automaatselt vastendatud serdi, mille TLS-i klient sisestab kasutajakontole. Kliendiserdiga sisse logivaid kasutajaid saate autentida, luues vastendused, mis seostavad serditeavet Windowsi kasutajakontoga. Pärast serdivastenduse loomist ja lubamist seostab teie serverirakendus iga kord, kui klient esitab kliendiserdi, automaatselt vastava kasutaja vastava Windowsi kasutajakontoga.

Schannel proovib vastestada iga lubatud serdivastendusmeetodi seni, kuni see õnnestub. Schannel proovib esmalt vastendusi Service-For-User-To-Self (S4U2Self). Subjekti/väljaandja, väljaandja ja UPN-i sertide vastendusi peetakse nüüd nõrgaks ja need on vaikimisi keelatud. Valitud suvandite bittrasterdatud summa määrab saadaolevate serdivastendusmeetodite loendi.

SChanneli registrivõtme vaikevõti oli 0x1F ja on nüüd 0x18. Kui Schanneli-põhistes serverirakendustes ilmneb autentimistõrkeid, soovitame teha testi. Lisage domeenikontrolleri registrivõtme CertificateMappingMethods väärtus või muutke seda, määrake selle väärtuseks 0x1F ja vaadake, kas see lahendab probleemi. Lisateavet leiate selles artiklis loetletud tõrgete kohta domeenikontrolleri süsteemisündmuste logidest. Pidage meeles, et SChanneli registrivõtme väärtuse tagasi eelmiseks vaikeväärtuseks (0x1F) taastatakse nõrkade sertide vastendamise meetodite kasutamine.

Registri alamvõti

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Väärtus

CertificateMappingMethods

Andmetüüp

DWORD

Andmed

0x0001 – subjekti/väljaandja serdi vastendamine (nõrk – vaikimisi keelatud)

0x0002 – väljaandja serdi vastendamine (nõrk – vaikimisi keelatud)

0x0004 – UPN-serdi vastendamine (nõrk – vaikimisi keelatud)

0x0008 – S4U2Self serdi vastendamine (tugev)

0x0010 – S4U2Selfi selgesõnaline serdivastendus (tugev)

Kas taaskäivitamine on nõutav?

Ei

Lisaressursside ja -toe leiate jaotisest "Lisaressursid".

Pärast värskenduste installimist, mis käsitlevad CVE-2022-26931 ja CVE-2022-26923, võib autentimine nurjuda juhul, kui kasutaja serdid on vanemad kui kasutajate loomisaeg. See registrivõti võimaldab edukat autentimist, kui kasutate oma keskkonnas nõrku serdivastendusi ja serdi aeg on määratud vahemikus kasutaja loomisajast varasem. See registrivõti ei mõjuta tugevate serdivastendustega kasutajaid ega masinaid, kuna serdiaega ja kasutaja loomisaega ei kontrollita keerukate serdivastendustega. Kui StrongCertificateBindingEnforcementi väärtuseks on seatud 2, ei avalda see registrivõti mingit mõju.

Selle registrivõtme kasutamine on ajutine lahendus keskkondadele, mis seda nõuavad ja mida tuleb teha ettevaatlikult. Selle registrivõtme kasutamine tähendab teie keskkonna jaoks järgmist.

  • See registrivõti töötab ainult ühilduvusrežiimis alates 10. maist 2022 välja antud värskendustest. Tagastuskompensatsiooni nihke piires on autentimine lubatud, kuid nõrga sidumise jaoks logitakse sündmuselogi hoiatus.

  • Selle registrivõtme lubamine võimaldab kasutaja autentimist, kui serdi aeg on enne kasutaja loomisaega määratud vahemikus nõrga vastendusena. Nõrku vastendusi ei toetata pärast 9. mail 2023 välja antud Windowsi värskenduste installimist, mis lubab täieliku jõustamise režiimi.

Registri alamvõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Väärtus

CertificateBackdatingCompensation

Andmetüüp

REG_DWORD

Andmed

Ajutise lahenduse väärtused ligikaudsete aastate puhul:

  • 50 aastat: 0x5E0C89C0

  • 25 aastat: 0x2EFE0780

  • 10 aastat: 0x12CC0300

  • 5 aastat: 0x9660180

  • 3 aastat: 0x5A39A80

  • 1 aasta: 0x1E13380

Märkus Kui teate oma keskkonnas sertide eluiga, määrake selle registrivõtme väärtuseks veidi pikem kui serdi eluiga.  Kui te ei tea, et sert on teie keskkonna jaoks elueaga, määrake selle registrivõtme väärtuseks 50 aastat. Vaikimisi on see 10 minutit, kui seda võtit pole, mis vastab Teenusele Active Directory Certificate Services (ADCS). Maksimumväärtus on 50 aastat (0x5E0C89C0).

See võti määrab ajaerinevuse sekundites, mida võtme jaotuskeskus (KDC) ignoreerib autentimisserdi probleemi aja ja kasutaja/arvuti kontode kontode loomise aja vahel.

Tähtis Määrake see registrivõti ainult siis, kui teie keskkond seda nõuab. Selle registrivõtme kasutamine keelab turbekontrolli.

Kas taaskäivitamine on nõutav?

Ei

Ettevõtte sertimiskeskused

Ettevõtte sertimiskeskused (CA) hakkavad vaikimisi lisama uut mittekriitilist laiendit objektiidentifikaatoriga (OID) (1.3.6.1.4.1.311.25.2) vaikimisi kõigile võrgumallide jaoks väljastatud sertidele pärast 10. mai 2022 Windowsi värskenduse installimist. Selle laiendi lisamise peatamiseks määrake vastava malli väärtuses msPKI-Enrollment-Flag 0x00080000 bitt.

Käivitate järgmise sertimiskäsu , et välistada kasutajamalli serdid uue laiendi toomisest.

  1. Logige sertimiskeskuse serverisse või domeeniga liidetud Windows 10 klienti sisse ettevõtte administraatori või samaväärse identimisteabega.

  2. Avage käsuviip ja valige käsk Käivita administraatorina.

  3. Käivitage certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Selle laienduse lisamise keelamisel eemaldatakse uue laienduse pakutav kaitse. Kaaluge seda alles pärast ühte järgmistest.

  1. Kinnitate, et vastavad serdid pole algautentimise (PKINIT) avaliku võtme krüptograafia jaoks KDC-s Kerberose protokolli autentimise korral vastuvõetavad

  2. Vastavatel sertidel on konfigureeritud muud keerukad serdivastendused

Keskkonnad, millel on mitte-Microsoft CA juurutused ei ole kaitstud uue SID laienduse abil pärast 10. mai 2022 Windowsi värskenduse installimist. Mõjutatud kliendid peaksid selle probleemi lahendamiseks koostööd tegema vastavate CA tarnijatega või kaaluma muude eespool kirjeldatud keerukate sertide vastenduste kasutamist.

Lisaressursside ja -toe leiate jaotisest "Lisaressursid".

Korduma kippuvad küsimused

Ei, uuendamine pole nõutav. CA tarnitakse ühilduvusrežiimis. Kui soovite objektide laiendiga ObjectSID tugevat vastendust, vajate uut serti.

Lisaressursid

TLS-i kliendiserdi vastenduse kohta leiate lisateavet järgmistest artiklitest.

Kas vajate rohkem abi?

Täiendage oma oskusi

Tutvuge koolitusmaterjalidega >

Kasutage uusi funktsioone enne teisi

Liitu Microsofti Insideri programmis osalejad >

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?

Täname tagasiside eest!

×