Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Kokkuvõte

Windowsi turbevärskendused, mis anti välja 9. aprillil 2024 või hiljem, lahendavad kerberos PAC valideerimisprotokolli abil õiguste laiendamise probleemid. Privilege Attribute Certificate (PAC) on Kerberose teenusepiletite laiendus. See sisaldab teavet autentiva kasutaja ja nende õiguste kohta. See värskendus kõrvaldab nõrkuse, kus kasutaja protsessi võib rikkuda signatuuri, et vältida PAC allkirja valideerimise turbekontrolli lisatud KB5020805: Kuidas hallata Kerberose protokolli muudatusi, mis on seotud CVE-2022-37967.

Nende nõrkuste kohta lisateabe saamiseks külastage lehti CVE-2024-26248 ja CVE-2024-29056.

Toiming

OLULINE9. aprillil 2024 või hiljem välja antud värskenduse installimise 1. juhis EI lahenda vaikimisi täielikult CVE-2024-26248 ja CVE-2024-29056 turbeprobleeme. Kõigi seadmete turbeprobleemi täielikuks leevendamiseks peate pärast keskkonna täielikku värskendamist minema üle jõustatud režiimile (kirjeldatud 3. juhises).

Teie keskkonna kaitsmiseks ja katkestuste vältimiseks soovitame teha järgmist.

  1. UPDATE: Windowsi domeenikontrollerid ja Windowsi kliendid tuleb värskendada Windowsi turbevärskendusega, mis on välja antud 9. aprillil 2024 või hiljem.

  2. JÄLGIDA: Auditisündmused kuvatakse ühilduvusrežiimis, et tuvastada seadmed, mida ei värskendata.

  3. LUBA: Kui jõustamisrežiim on teie keskkonnas täielikult lubatud, leevendatakse CVE-2024-26248 ja CVE-2024-29056 kirjeldatud nõrkusi.

Taust

Kui Windowsi tööjaos paC-valideerimine toimub sissetuleva Kerberose autentimisvoos, esitab see uue taotluse (võrgupileti sisselogimine) teenusepileti valideerimiseks. Taotlus saadetakse algselt Netlogoni kaudu tööjaamade domeenikontrollerile (DC).

Kui teenusekonto ja arvutikonto kuuluvad erinevatesse domeenidesse, kantakse taotlus Netlogoni kaudu üle vajalike usalduste, kuni see jõuab teenuste domeenini; vastasel korral valideerib arvutikontode domeeni DC. Seejärel helistab DC põhijaotuskeskusele (KDC), et valideerida teenusepileti PAC-allkirjad ning saata kasutaja- ja seadmeteave tagasi tööpunkti.

Kui taotlus ja vastus saadetakse edasi usalduse kaudu (juhul, kui teenusekonto ja tööjala konto kuuluvad erinevatesse domeenidesse), filtreerib usalduse iga DC autoriseerimisandmed, mis seda puudutavad.

Muudatuste ajaskaala

Teabevärskendused antakse välja järgmiselt. Pange tähele, et seda väljalaskegraafikut võidakse vajaduse korral muuta.

Algne juurutusetapp algab 9. aprillil 2024 välja antud värskendustega. See värskendus lisab uue käitumise, mis takistab õiguste nõrkuste tõstmist, mida on kirjeldatud versioonides CVE-2024-26248 ja CVE-2024-29056 , kuid ei jõusta seda, välja arvatud juhul, kui värskendatakse nii Windowsi domeenikontrollereid kui ka Keskkonna Windowsi kliente.

Uue käitumise lubamiseks ja nõrkuste leevendamiseks peate veenduma, et kogu Windowsi keskkond (sh nii domeenikontrollerid kui ka kliendid) oleks värskendatud. Auditisündmused logitakse, et aidata tuvastada seadmeid, mida ei värskendata.

Teabevärskendused, mis anti välja 15. oktoobril 2024 või hiljem, teisaldab kõik keskkonnas olevad Windowsi domeenikontrollerid ja kliendid jõustatud režiimi, määrates registri alamvõtme säteteks PacSignatureValidationLevel=3 ja CrossDomainFilteringLevel=4, jõustades turvalise käitumise vaikimisi.

Administraator saab ühilduvusrežiimi ennistamiseks vaikesätted alistada.

8. aprillil 2025 või hiljem välja antud Windowsi turbevärskendused eemaldavad registri alamvõtmete PacSignatureValidationLevel ja CrossDomainFilteringLevel toe ning jõustavad uue turvalise käitumise. Pärast selle värskenduse installimist ühilduvusrežiimi ei toetata.

Võimalikud probleemid ja leevendused

Võimalik, et võib esineda probleeme, sh PAC valideerimine ja metsaülesed filtreerimistõrked. 9. aprilli 2024 turbevärskendus sisaldab taandeloogikat ja registrisätteid, mis aitavad neid probleeme leevendada

Registrisätted

Seda turbevärskendust pakutakse Windowsi seadmetele (sh domeenikontrolleritele). Järgmisi käitumist kontrollivaid registrivõtmeid tuleb juurutada ainult Kerberose serverisse, mis aktsepteerib sissetulevat Kerberose autentimist ja PAC-valideerimist.

Registri alamvõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Väärtus

PacSignatureValidationLevel

Andmetüüp

REG_DWORD

Andmed

2

Vaikeväärtus (ühilduvus sidumata keskkonnaga)

3

Jõustada

Kas taaskäivitamine on nõutav?

Ei

Registri alamvõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Väärtus

CrossDomainFilteringLevel

Andmetüüp

REG_DWORD

Andmed

2

Vaikeväärtus (ühilduvus sidumata keskkonnaga)

4

Jõustada

Kas taaskäivitamine on nõutav?

Ei

Seda registrivõtit saab juurutada nii sissetulevat Kerberose autentimist aktsepteerivates Windowsi serverites kui ka mis tahes Windowsi domeenikontrolleris, mis valideerib uut võrgupileti sisselogimisvoogu.

Registri alamvõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Väärtus

AuditKerberosTicketLogonEvents

Andmetüüp

REG_DWORD

Andmed

1

Vaikesäte – logi kriitilised sündmused

2

Logi kõik Netlogoni sündmused

0

Ära logi Netlogoni sündmusi

Kas taaskäivitamine on nõutav?

Ei

Sündmuselogid

Kerberose serveris, mis aktsepteerib sissetuleva Kerberose autentimist, luuakse järgmised Kerberose auditisündmused. See Kerberose server teeb PAC-valideerimist, mis kasutab uut võrgupileti sisselogimisvoogu.

Sündmuste logi

Süsteem

Sündmuse tüüp

Informatiivsel

Sündmuse allikas

Security-Kerberos

Sündmuse ID

21

Sündmuse tekst

Kerberose võrgupileti sisselogimise ajal pidi DC <domeenikontrolleri> teenusepilet Account <Account> domain <Domain> tegema järgmist. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2262558.

<toimingu>

See sündmus kuvatakse siis, kui domeenikontroller tegi võrgupileti sisselogimise voo ajal pöördumatu toimingu. Praegu logitakse järgmised toimingud.

  • Kasutaja SID-sid filtreeriti.

  • Seadme SID-sid filtreeriti.

  • Liitidentiteet eemaldati, kuna SID-filtreerimine ei luba seadme identiteeti.

  • Ühendiidentiteet eemaldati, kuna SID-filtreerimine keelas seadme domeeninime.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Security-Kerberos

Sündmuse ID

22

Sündmuse tekst

Kerberose võrgupileti sisselogimise ajal keelas DC <DC> alltoodud põhjustel Teenusepileti Account <Account> domeenist <Domain>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2262558.

Põhjus: <põhjus>
ErrorCode: <Tõrkekood>

See sündmus kuvatakse siis, kui domeenikontroller lükkas võrgupileti sisselogimistaotluse tagasi sündmuses näidatud põhjustel. ​​​​​​

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus või tõrge

Sündmuse allikas

Security-Kerberos

Sündmuse ID

23

Sündmuse tekst

Kerberose võrgupileti sisselogimise ajal ei saanud teenusepiletit Account <account_name> domeenist <domain_name> taotluse teenindamiseks edastada domeenikontrollerile. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2262558.

  • See sündmus kuvatakse hoiatusena, kui PacSignatureValidationLevel JA CrossDomainFilteringLevel pole seatud jõustama või rangemaks. Hoiatusena logimisel näitab sündmus, et võrgupileti sisselogimise vood võtsid ühendust domeenikontrolleri või samaväärse seadmega, mis ei saanud uuest mehhanismist aru. Autentimine lubati eelmisele käitumisele tagasi viia.

  • See sündmus kuvatakse tõrkena, kui PacSignatureValidationLevel VÕI CrossDomainFilteringLevel on seatud jõustama või rangemaks. See sündmus kui "tõrge" näitab, et võrgupileti sisselogimise voog võttis ühendust domeenikontrolleriga või samaväärse seadmega, mis ei saanud uuest mehhanismist aru. Autentimine on keelatud ja varasemat käitumist ei saanud tagasi võtta.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Netlogon

Sündmuse ID

5842

Sündmuse tekst

Netlogoni teenuses ilmnes Kerberose võrgupileti sisselogimistaotluse töötlemisel ootamatu tõrge. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2261497.

Teenusepileti konto: <konto>

Teenusepileti domeen: <domeen>

Tööjala nimi: <seadme nimi>

Olek: <tõrkekood>

See sündmus luuakse siis, kui Netlogonis ilmnes võrgupileti sisselogimistaotluse ajal ootamatu tõrge. See sündmus logitakse, kui AuditKerberosTicketLogonEvents on seatud väärtuseks (1) või uuem.

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

Netlogon

Sündmuse ID

5843

Sündmuse tekst

Netlogoni teenus ei saanud Kerberose võrgupileti sisselogimistaotlust edastada domeenikontrollerile <DC>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2261497.

Teenusepileti konto: <konto>

Teenusepileti domeen: <domeen>

Tööjala nimi: <seadme nimi>

See sündmus luuakse siis, kui Netlogon ei saanud võrgupileti sisselogimist lõpule viia, kuna domeenikontroller ei saanud muudatustest aru. Netlogoni protokolli piirangute tõttu ei saa Netlogoni klient kindlaks teha, kas domeenikontroller, millega Netlogon klient otseselt räägib, on see, mis ei mõista muudatusi või kas see on edasisaatmisahelas domeenikontroller, mis ei mõista muudatusi.

  • Kui teenusepileti domeen on sama, mis seadme konto domeen, on tõenäoline, et sündmuselogi domeenikontroller ei mõista võrgupileti sisselogimise voogu.

  • Kui teenusepileti domeen erineb arvutikonto domeenist, ei saanud üks domeenikontroller teel seadme konto domeenist teenusekonto domeenini mõista võrgupileti sisselogimise voogu

See sündmus on vaikimisi välja lülitatud. Microsoft soovitab kasutajatel enne sündmuse sisselülitamist värskendada kogu seadmeparki.

See sündmus logitakse, kui AuditKerberosTicketLogonEvents on seatud väärtuseks (2).

Korduma kippuvad küsimused (KKK)

Värskendamata domeenikontroller ei tunne seda uut päringustruktuuri ära. See põhjustab turbekontrolli nurjumise. Ühilduvusrežiimis kasutatakse vana päringustruktuuri. See stsenaarium on endiselt CVE-2024-26248 ja CVE-2024-29056 suhtes haavatav.

Jah. Selle põhjuseks on see, et uus võrgupileti sisselogimisvoog võib olla vaja marsruutida üle domeeni, et jõuda teenusekonto domeenini.

PAC-valideerimine võidakse vahele jätta teatud juhtudel, sealhulgas ( kuid mitte ainult) järgmistel juhtudel.

  • Kui teenusel on TCB õigus. Üldiselt on see õigus süsteemikonto kontekstis töötavatel teenustel (nt SMB failiketastel või LDAP-serveritel).

  • Kui teenus käivitatakse toiminguajastist.

Muul juhul kontrollitakse PAC-i valideerimist kõigi sissetulevate Kerberose autentimisvoogude puhul.

Need CV-sid hõlmavad õiguste kohalikku suurendamist, mille korral Windows Workstationis töötav pahatahtlik või ohtu sattunud teenusekonto proovib kohalike haldusõiguste saamiseks oma õigusi kõrgemale tõsta. See tähendab, et see mõjutab ainult sissetulevat Kerberose autentimist aktsepteerivat Windows Workstationi.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×