Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Muudatuste logi

1. muudatus: 19. juuni 2023:

  • Selgitati lauset, mis algab lausega "To help secure..." jaotises "Kokkuvõte".

  • Märkmele lisati lisateavet registrivõtme DefaultDomainSupportedEncTypes sättesse.

Selle artikli teemad

Kokkuvõte

Windowsi värskendused, mis anti välja 8. novembril 2022 või pärast seda, lahendavad turvalisuse möödumise ja õiguste laiendamise nõrkuse autentimise läbirääkimiste abil nõrkade RC4-HMAC läbirääkimiste abil.

Selle värskendusega määratakse AES seansivõtmete vaikekrüptimistüübiks nende kontode seansivõtmete jaoks, mis pole juba tähistatud vaikekrüptimistüübiga. 

Oma keskkonna turvalisuse tagamiseks installige Windowsi värskendused, mis on välja antud 8. novembril 2022 või hiljem, kõigile seadmetele, sh domeenikontrolleritele. Vt muudatust 1.

Lisateavet nende nõrkuste kohta leiate teemast CVE-2022-37966.

Seansivõtme krüptimistüüpide konkreetselt määramise tuvastamine

Võimalik, et olete oma kasutajakontodel selgelt määratlenud krüptimistüübid, mis on CVE-2022-37966 suhtes haavatavad. Otsige kontosid, kus DES / RC4 on selgesõnaliselt lubatud, kuid mitte AES, kasutades järgmist Active Directory päringut:

  • Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Registrivõtme sätted

Pärast 8. novembril 2022 või hiljem välja antud Windowsi värskenduste installimist on Kerberose protokolli jaoks saadaval järgmine registrivõti:

DefaultDomainSupportedEncTypes

Registrivõti

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC

Väärtus

DefaultDomainSupportedEncTypes

Andmetüüp

REG_DWORD

Andmeväärtus

0x27 (vaikesäte)

Kas taaskäivitamine on nõutav?

Ei

Märkus Kui peate muutma Active Directory kasutaja või arvuti toetatud krüptimise vaiketüüpi, lisage see käsitsi ja konfigureerige registrivõti uue toetatud krüptimistüübi määramiseks.  See värskendus ei lisa registrivõtit automaatselt.

Windowsi domeenikontrollerid kasutavad seda väärtust Active Directory kontodel, mille väärtus msds-SupportedEncryptionType on tühi või seadmata, toetatud krüptimistüüpide määramiseks. Arvuti, kus töötab Windowsi operatsioonisüsteemi toetatud versioon, määrab automaatselt selle Active Directory arvutikonto msds-SupportedEncryptionTypes . See põhineb krüptimistüüpide konfigureeritud väärtusel, mida Kerberose protokoll tohib kasutada. Lisateavet leiate teemast Võrguturve: Kerberose jaoks lubatud krüptimistüüpide konfigureerimine.

Active Directory kasutajate kontodel, rühma hallatava teenuse kontodel ja muudel kontodel pole väärtust msds-SupportedEncryptionTypes automaatselt määratud. 

Käsitsi määratava toetatud krüptimistüüpide leidmiseks lugege teemat Toetatud krüptimistüüpide bitilipud. Lisateavet leiate esmalt sellest, mida peaksite tegema keskkonna ettevalmistamiseks ja Kerberose autentimisprobleemide vältimiseks.

Vaikeväärtus 0x27 (DES, RC4, AES Session Keys) valiti selle turbevärskenduse jaoks minimaalseks muudatuseks. Soovitame klientidel suurema turvalisuse tagamiseks määrata 0x3C, kuna see väärtus lubab nii AES-krüptitud pileteid kui ka AES-i seansivõtmeid. Kui kliendid on järginud meie juhiseid, et liikuda AES-onlyi keskkonda, kus RC4 ei kasutata Kerberose protokolli jaoks, soovitame klientidel määrata väärtuseks 0x38. Vt muudatust 1.

CVE-2022-37966 seotud Windowsi sündmused

Kerberose võtmete jaotuskeskusel pole konto jaoks tugevaid võtmeid

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Kdcsvc

Sündmuse ID

42

Sündmuse tekst

Kerberose võtmete levikeskusel puuduvad tugevad võtmed konto jaoks: accountname. Ebaturvalise krüptograafia kasutamise vältimiseks peate värskendama selle konto parooli. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2210019.

Kui leiate selle tõrke, peate enne KrbtgtFullPacSingature = 3 määramist tõenäoliselt lähtestama oma krbtgt-parooli või installima Windowsi Teabevärskendused välja antud 11. juulil 2023 või hiljem. Värskendus, mis programmiliselt lubab CVE-2022-37967 jõustamisrežiimi, on dokumenteeritud Microsofti teabebaasi järgmises artiklis:

KB5020805: Kuidas hallata Kerberose protokolli muudatusi, mis on seotud CVE-2022-37967

Lisateavet selle kohta leiate New-KrbtgtKeys.ps1 teemast GitHubi veebisaidil.

Korduma kippuvad küsimused (KKK) ja teadaolevad probleemid

Kontod, mis on tähistatud selgesõnalise RC4 kasutuse jaoks, on haavatavad. Lisaks võivad tundlikud olla keskkonnad, millel pole krbgt-kontoL AES-i seansivõtmeid. Selle probleemi leevendamiseks järgige nõrkuste tuvastamiseks juhiseid ja kasutage krüptimise vaikesätete värskendamiseks registrivõtme sätet .

Peate veenduma, et kõigil teie seadmetel on ühine Kerberose krüptimistüüp.  Kerberose krüptimistüüpide kohta leiate lisateavet teemast Toetatud Kerberose krüptimistüüpide valiku dekrüptimine.

Ilma tavalise Kerberose krüptimistüübita keskkonnad võisid varem toimida RC4 automaatse lisamise või AES-i lisamise tõttu, kui domeenikontrollerid keelasid RC4 rühmapoliitika kaudu. See käitumine on muutunud 8. novembril 2022 või hiljem välja antud värskendustega ja järgib nüüd rangelt registrivõtmetes, msds-SupportedEncryptionTypes ja DefaultDomainSupportedEncTypes seatud vormingut

Kui kontol pole msds-SupportedEncryptionTypes seatud või selle väärtuseks on seatud 0, eeldavad domeenikontrollerid vaikeväärtust 0x27 (39) või domeenikontroller kasutab registrivõtme DefaultDomainSupportedEncTypes sätet.

Kui kontol on seatud msds-SupportedEncryptionTypes , siis see säte austatakse ja võib ilmneda tõrge, et konfigureeritud on levinud Kerberose krüptimise tüüp, mida varjab RC4 või AES-i automaatse lisamise eelmine käitumine, mis pole enam toiming pärast 8. novembril 2022 või pärast seda välja antud värskenduste installimist.

Teavet selle kohta, kuidas kontrollida, kas teil on ühine Kerberose krüptimistüüp, leiate teemast Küsimus Kuidas kontrollida, kas kõigil minu seadmetel on ühine Kerberose krüptimistüüp?

Eelmisest küsimusest leiate lisateavet selle kohta, miks teie seadmetes ei pruugi pärast 8. novembril 2022 või hiljem välja antud värskenduste installimist olla levinud Kerberose krüptimistüüpi.

Kui olete värskendused, mis on välja antud 8. novembril 2022 või hiljem, saate tuvastada seadmeid, millel pole levinud Kerberose krüptimistüüpi, otsides Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27 sündmuselogist, mis tuvastab Kerberose klientrakenduste ja kaugserverite või teenuste vahelised ühtsed krüptimistüübid.

8. novembril 2022 klientidele või mittedomeenikontrolleri rolliserveritele välja antud värskenduste installimine ei tohiks mõjutada kerberose autentimist teie keskkonnas.

Selle teadaoleva probleemi leevendamiseks avage käsuviiba aken administraatorina ja kasutage registrivõtme KrbtgtFullPacSignature väärtuseks 0 ajutiseks määramiseks järgmist käsku:

  • reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
    

Märkus Kui see teadaolev probleem on lahendatud, peaksite seadma KrbtgtFullPacSignature'i suurema sätte sõltuvalt sellest, mida teie keskkond lubab. Jõustamisrežiim on lubatud kohe, kui teie keskkond on valmis.

Järgmised toimingudTegeleme lahenduse otsimisega ja lisame selle mõnda edaspidi välja antavasse värskendusse.

Pärast 8. novembril 2022 või hiljem oma domeenikontrollerites välja antud värskenduste installimist peavad kõik seadmed toetama AES-i pileti allkirjastamist vastavalt vajadusele, et täita CVE-2022-37967 jaoks nõutavat turbekiinamist.

Järgmised toimingud Kui kasutate juba windowsiga mitteseotud seadmete kõige ajakohasemat tarkvara ja püsivara ning olete kontrollinud, et Teie Windowsi domeenikontrollerite ja mitte-Windowsi seadmete vahel on saadaval ühine krüptimistüüp, peate abi saamiseks või seadmete asendamiseks nendega, mis vastavad nõuetele, pöörduge oma seadme tootja (OEM) poole. 

OLULINE Me ei soovita kasutada lahendust, et lubada nõuetele mittevastavate seadmete autentimine, kuna see võib muuta teie keskkonna haavatavaks.

Toetuseta Windowsi versioonide hulka kuuluvad Windows XP, Windows Server 2003, Windows Server 2008 SP2 ja Windows Server 2008 R2 SP1, millele värskendatud Windowsi seadmed juurde ei pääse, kui teil pole ESU litsentsi. Kui teil on ESU litsents, peate installima värskendused, mis on välja antud 8. novembril 2022 või hiljem, ja veenduma, et teie konfiguratsioonil oleks kõigis seadmetes ühine krüptimistüüp.

Järgmised toimingud Installige värskendused, kui need on teie Windowsi versiooni jaoks saadaval ja teil on kehtiv ESU litsents. Kui värskendused pole saadaval, peate üle minema windowsi toetatud versioonile või teisaldama mis tahes rakenduse või teenuse ühilduvasse seadmesse.

OLULINE Me ei soovita kasutada lahendust, et lubada nõuetele mittevastavate seadmete autentimine, kuna see võib muuta teie keskkonna haavatavaks.

See teadaolev probleem lahendati 17. novembril 2022 ja 18. novembril 2022 välja antud ribavälised värskendused, mis installiti kõigile teie keskkonna domeenikontrolleritele. Selle probleemi lahendamiseks ei pea te oma keskkonnas värskendusi installima ega muudes serverites ega klientseadmetes muudatusi tegema. Kui kasutasite selle probleemi lahendamiseks mõnda lahendust või leevendust, pole neid enam vaja ja soovitame need eemaldada.

Nende ribavälise värskenduse autonoomse paketi hankimiseks otsige kb-numbrit Microsoft Update'i kataloogist. Saate need värskendused windows Server Update Servicesi (WSUS) ja Microsofti lõpp-punkti Configuration Manager käsitsi importida. WSUS-i juhised leiate teemast WSUS ja kataloogisait. Konfiguratsioonihalduri juhised leiate teemast Värskenduste importimine Microsoft Update'i kataloogist

Märkus Järgmised värskendused pole Windows Update saadaval ja neid ei installita automaatselt.

Koondvärskendused:

Märkus Te ei pea enne nende koondvärskenduste installimist ühtegi varasemat värskendust rakendama. Kui olete juba installinud 8. novembril 2022 välja antud värskendused, ei pea te mõjutatud värskendusi enne hilisemate värskenduste( sh eespool loetletud värskenduste) installimist desinstallima.

Autonoomne Teabevärskendused:

Märkused. 

  • Kui kasutate nendes Windows Serveri versioonides ainult turbevärskendusi, peate need eraldiseisvad värskendused installima ainult 2022. aasta novembris. Ainult turbevärskendused pole kumulatiivsed ja samuti peate installima kõik varasemad ainult turbevärskendused, et need oleksid täielikult ajakohased. Igakuised värskenduskomplektid on kumulatiivsed ning sisaldavad turbe- ja kvaliteedivärskendusi.

  • Kui kasutate igakuiseid värskenduskomplekte, peate selle probleemi lahendamiseks installima mõlemad eespool loetletud eraldiseisvad värskendused ja installima 8. novembril 2022 välja antud igakuised värskenduskomplektid, et saada 2022. aasta novembri kvaliteedivärskendusi. Kui olete juba installinud 8. novembril 2022 välja antud värskendused, ei pea te mõjutatud värskendusi enne hilisemate värskenduste( sh eespool loetletud värskenduste) installimist desinstallima.

Kui olete oma keskkonna konfiguratsiooni kontrollinud ja teil esineb endiselt probleeme Kerberose mitte-Microsofti juurutamisega, vajate rakenduse või seadme arendaja või tootja värskendusi või tuge.

Seda teadaolevat probleemi saab leevendada, tehes ühte järgmistest.

  • Seadke msds-SupportedEncryptionTypes bititasemel või määrake selle praeguse väärtuse säilitamiseks praegusele vaike-0x27. Näide.

    • Msds-SuportedEncryptionTypes -bor 0x27
  • Määrake sätte msds-SupportEncryptionTypes väärtuseks 0 , et domeenikontrollerid kasutaksid 0x27 vaikeväärtust.

Järgmised toimingudTegeleme lahenduse otsimisega ja lisame selle mõnda edaspidi välja antavasse värskendusse.

Sõnastik

Advanced Encryption Standard (AES) on ploki šifr, mis asendab andmekrüptimise standardi (DES). AES-i saab kasutada elektrooniliste andmete kaitsmiseks. AES-algoritmi saab kasutada teabe krüptimiseks (kodeerimiseks) ja dekrüptimiseks (dešifriks). Krüptimine teisendab andmed soovimatuks vormiks nimega šifrtekst; šifriteksti dekrüptimine teisendab andmed tagasi algseks vormiks ,mida nimetatakse lihttekstiks. AES-i kasutatakse sümmeetrilise võtme krüptograafias, mis tähendab, et sama võtit kasutatakse krüptimis- ja dekrüptimistoimingute jaoks. See on ka ploki šifr, mis tähendab, et see töötab fikseeritud suurusega plokkide plaintext ja šifritekstiga ning nõuab lihtteksti ja šifriteksti suurust, et see oleks selle ploki suuruse täpne kordne. AES-i nimetatakse ka Rijndaeli sümmeetriliseks krüptimisalgoritmiks [FIPS197].

Kerberos on arvutivõrgu autentimise protokoll, mis töötab "piletitel", et võrgu kaudu suhtlevad sõlmed saaksid oma identiteeti turvaliselt tõestada.

Kerberose teenus, mis rakendab Kerberose protokollis määratud autentimis- ja piletilubamisteenuseid. Teenus töötab arvutites, mille on valinud valdkonna või domeeni administraator; seda ei kuvata igas võrgus olevas seadmes. Sellel peab olema juurdepääs kontoandmebaasile selle ala jaoks, mida see teenindab. KDC-d on integreeritud domeenikontrolleri rolli. See on võrguteenus, mis tarnib klientidele pileteid teenuste autentimiseks.

RC4-HMAC (RC4) on muutuv võtmepikkusega sümmeetriline krüptimisalgoritm. Lisateavet leiate [SCHNEIER] 17.1.

Suhteliselt lühike sümmeetriline võti (krüptovõti, mille kliendi ja serveri vahel on jagatud saladus). Seansiklahvide eluiga on seotud seansivõtmetega. Seansivõti peab olema piisavalt tugev, et vastu pidada krüptimisanalüüsile seansi eluea jooksul.

Eritüüpi pilet, mida saab kasutada muude piletite hankimiseks. Piletit andev pilet (TGT) saadakse pärast algset autentimist autentimisteenuse (AS) vahetuses; pärast seda ei pea kasutajad oma identimisteavet esitama, vaid saavad edaspidiste piletite hankimiseks kasutada TGT-d.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.