Kokkuvõte
Windowsi turbevärskendused, mis anti välja 9. aprillil 2024 või hiljem, lahendavad kerberos PAC valideerimisprotokolli abil õiguste laiendamise probleemid. Privilege Attribute Certificate (PAC) on Kerberose teenusepiletite laiendus. See sisaldab teavet autentiva kasutaja ja nende õiguste kohta. See värskendus kõrvaldab nõrkuse, kus kasutaja protsessi võib rikkuda signatuuri, et vältida PAC allkirja valideerimise turbekontrolli lisatud KB5020805: Kuidas hallata Kerberose protokolli muudatusi, mis on seotud CVE-2022-37967.
Nende nõrkuste kohta lisateabe saamiseks külastage lehti CVE-2024-26248 ja CVE-2024-29056.
Toiming
OLULINE9. aprillil 2024 või hiljem välja antud värskenduse installimise 1. juhis EI lahenda vaikimisi täielikult CVE-2024-26248 ja CVE-2024-29056 turbeprobleeme. Kõigi seadmete turbeprobleemi täielikuks leevendamiseks peate pärast keskkonna täielikku värskendamist minema üle jõustatud režiimile (kirjeldatud 3. juhises).
Teie keskkonna kaitsmiseks ja katkestuste vältimiseks soovitame teha järgmist.
-
UPDATE: Windowsi domeenikontrollerid ja Windowsi kliendid tuleb värskendada Windowsi turbevärskendusega, mis on välja antud 9. aprillil 2024 või hiljem.
-
JÄLGIDA: Auditisündmused kuvatakse ühilduvusrežiimis, et tuvastada seadmed, mida ei värskendata.
-
LUBA: Kui jõustamisrežiim on teie keskkonnas täielikult lubatud, leevendatakse CVE-2024-26248 ja CVE-2024-29056 kirjeldatud nõrkusi.
Taust
Kui Windowsi tööjaos paC-valideerimine toimub sissetuleva Kerberose autentimisvoos, esitab see uue taotluse (võrgupileti sisselogimine) teenusepileti valideerimiseks. Taotlus saadetakse algselt Netlogoni kaudu tööjaamade domeenikontrollerile (DC).
Kui teenusekonto ja arvutikonto kuuluvad erinevatesse domeenidesse, kantakse taotlus Netlogoni kaudu üle vajalike usalduste, kuni see jõuab teenuste domeenini; vastasel korral valideerib arvutikontode domeeni DC. Seejärel helistab DC põhijaotuskeskusele (KDC), et valideerida teenusepileti PAC-allkirjad ning saata kasutaja- ja seadmeteave tagasi tööpunkti.
Kui taotlus ja vastus saadetakse edasi usalduse kaudu (juhul, kui teenusekonto ja tööjala konto kuuluvad erinevatesse domeenidesse), filtreerib usalduse iga DC autoriseerimisandmed, mis seda puudutavad.
Muudatuste ajaskaala
Teabevärskendused antakse välja järgmiselt. Pange tähele, et seda väljalaskegraafikut võidakse vajaduse korral muuta.
Algne juurutusetapp algab 9. aprillil 2024 välja antud värskendustega. See värskendus lisab uue käitumise, mis takistab õiguste nõrkuste tõstmist, mida on kirjeldatud versioonides CVE-2024-26248 ja CVE-2024-29056 , kuid ei jõusta seda, välja arvatud juhul, kui värskendatakse nii Windowsi domeenikontrollereid kui ka Keskkonna Windowsi kliente.
Uue käitumise lubamiseks ja nõrkuste leevendamiseks peate veenduma, et kogu Windowsi keskkond (sh nii domeenikontrollerid kui ka kliendid) oleks värskendatud. Auditisündmused logitakse, et aidata tuvastada seadmeid, mida ei värskendata.
Teabevärskendused, mis anti välja 15. oktoobril 2024 või hiljem, teisaldab kõik keskkonnas olevad Windowsi domeenikontrollerid ja kliendid jõustatud režiimi, määrates registri alamvõtme säteteks PacSignatureValidationLevel=3 ja CrossDomainFilteringLevel=4, jõustades turvalise käitumise vaikimisi.
Administraator saab ühilduvusrežiimi ennistamiseks vaikesätted alistada.
8. aprillil 2025 või hiljem välja antud Windowsi turbevärskendused eemaldavad registri alamvõtmete PacSignatureValidationLevel ja CrossDomainFilteringLevel toe ning jõustavad uue turvalise käitumise. Pärast selle värskenduse installimist ühilduvusrežiimi ei toetata.
Võimalikud probleemid ja leevendused
Võimalik, et võib esineda probleeme, sh PAC valideerimine ja metsaülesed filtreerimistõrked. 9. aprilli 2024 turbevärskendus sisaldab taandeloogikat ja registrisätteid, mis aitavad neid probleeme leevendada
Registrisätted
Seda turbevärskendust pakutakse Windowsi seadmetele (sh domeenikontrolleritele). Järgmisi käitumist kontrollivaid registrivõtmeid tuleb juurutada ainult Kerberose serverisse, mis aktsepteerib sissetulevat Kerberose autentimist ja PAC-valideerimist.
Registri alamvõti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
Väärtus |
PacSignatureValidationLevel |
|
Andmetüüp |
REG_DWORD |
|
Andmed |
2 |
Vaikeväärtus (ühilduvus sidumata keskkonnaga) |
3 |
Jõustada |
|
Kas taaskäivitamine on nõutav? |
Ei |
Registri alamvõti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
Väärtus |
CrossDomainFilteringLevel |
|
Andmetüüp |
REG_DWORD |
|
Andmed |
2 |
Vaikeväärtus (ühilduvus sidumata keskkonnaga) |
4 |
Jõustada |
|
Kas taaskäivitamine on nõutav? |
Ei |
Seda registrivõtit saab juurutada nii sissetulevat Kerberose autentimist aktsepteerivates Windowsi serverites kui ka mis tahes Windowsi domeenikontrolleris, mis valideerib uut võrgupileti sisselogimisvoogu.
Registri alamvõti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Väärtus |
AuditKerberosTicketLogonEvents |
|
Andmetüüp |
REG_DWORD |
|
Andmed |
1 |
Vaikesäte – logi kriitilised sündmused |
2 |
Logi kõik Netlogoni sündmused |
|
0 |
Ära logi Netlogoni sündmusi |
|
Kas taaskäivitamine on nõutav? |
Ei |
Sündmuselogid
Kerberose serveris, mis aktsepteerib sissetuleva Kerberose autentimist, luuakse järgmised Kerberose auditisündmused. See Kerberose server teeb PAC-valideerimist, mis kasutab uut võrgupileti sisselogimisvoogu.
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Informatiivsel |
Sündmuse allikas |
Security-Kerberos |
Sündmuse ID |
21 |
Sündmuse tekst |
Kerberose võrgupileti sisselogimise ajal pidi DC <domeenikontrolleri> teenusepilet Account <Account> domain <Domain> tegema järgmist. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2262558. |
See sündmus kuvatakse siis, kui domeenikontroller tegi võrgupileti sisselogimise voo ajal pöördumatu toimingu. Praegu logitakse järgmised toimingud.
-
Kasutaja SID-sid filtreeriti.
-
Seadme SID-sid filtreeriti.
-
Liitidentiteet eemaldati, kuna SID-filtreerimine ei luba seadme identiteeti.
-
Ühendiidentiteet eemaldati, kuna SID-filtreerimine keelas seadme domeeninime.
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Tõrge |
Sündmuse allikas |
Security-Kerberos |
Sündmuse ID |
22 |
Sündmuse tekst |
Kerberose võrgupileti sisselogimise ajal keelas DC <DC> alltoodud põhjustel Teenusepileti Account <Account> domeenist <Domain>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2262558. |
See sündmus kuvatakse siis, kui domeenikontroller lükkas võrgupileti sisselogimistaotluse tagasi sündmuses näidatud põhjustel.
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Hoiatus või tõrge |
Sündmuse allikas |
Security-Kerberos |
Sündmuse ID |
23 |
Sündmuse tekst |
Kerberose võrgupileti sisselogimise ajal ei saanud teenusepiletit Account <account_name> domeenist <domain_name> taotluse teenindamiseks edastada domeenikontrollerile. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2262558. |
-
See sündmus kuvatakse hoiatusena, kui PacSignatureValidationLevel JA CrossDomainFilteringLevel pole seatud jõustama või rangemaks. Hoiatusena logimisel näitab sündmus, et võrgupileti sisselogimise vood võtsid ühendust domeenikontrolleri või samaväärse seadmega, mis ei saanud uuest mehhanismist aru. Autentimine lubati eelmisele käitumisele tagasi viia.
-
See sündmus kuvatakse tõrkena, kui PacSignatureValidationLevel VÕI CrossDomainFilteringLevel on seatud jõustama või rangemaks. See sündmus kui "tõrge" näitab, et võrgupileti sisselogimise voog võttis ühendust domeenikontrolleriga või samaväärse seadmega, mis ei saanud uuest mehhanismist aru. Autentimine on keelatud ja varasemat käitumist ei saanud tagasi võtta.
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Tõrge |
Sündmuse allikas |
Netlogon |
Sündmuse ID |
5842 |
Sündmuse tekst |
Netlogoni teenuses ilmnes Kerberose võrgupileti sisselogimistaotluse töötlemisel ootamatu tõrge. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2261497. Teenusepileti konto: <konto> Teenusepileti domeen: <domeen> Tööjala nimi: <seadme nimi> Olek: <tõrkekood> |
See sündmus luuakse siis, kui Netlogonis ilmnes võrgupileti sisselogimistaotluse ajal ootamatu tõrge. See sündmus logitakse, kui AuditKerberosTicketLogonEvents on seatud väärtuseks (1) või uuem.
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Hoiatus! |
Sündmuse allikas |
Netlogon |
Sündmuse ID |
5843 |
Sündmuse tekst |
Netlogoni teenus ei saanud Kerberose võrgupileti sisselogimistaotlust edastada domeenikontrollerile <DC>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2261497. Teenusepileti konto: <konto> Teenusepileti domeen: <domeen> Tööjala nimi: <seadme nimi> |
See sündmus luuakse siis, kui Netlogon ei saanud võrgupileti sisselogimist lõpule viia, kuna domeenikontroller ei saanud muudatustest aru. Netlogoni protokolli piirangute tõttu ei saa Netlogoni klient kindlaks teha, kas domeenikontroller, millega Netlogon klient otseselt räägib, on see, mis ei mõista muudatusi või kas see on edasisaatmisahelas domeenikontroller, mis ei mõista muudatusi.
-
Kui teenusepileti domeen on sama, mis seadme konto domeen, on tõenäoline, et sündmuselogi domeenikontroller ei mõista võrgupileti sisselogimise voogu.
-
Kui teenusepileti domeen erineb arvutikonto domeenist, ei saanud üks domeenikontroller teel seadme konto domeenist teenusekonto domeenini mõista võrgupileti sisselogimise voogu
See sündmus on vaikimisi välja lülitatud. Microsoft soovitab kasutajatel enne sündmuse sisselülitamist värskendada kogu seadmeparki.
See sündmus logitakse, kui AuditKerberosTicketLogonEvents on seatud väärtuseks (2).
Korduma kippuvad küsimused (KKK)
Värskendamata domeenikontroller ei tunne seda uut päringustruktuuri ära. See põhjustab turbekontrolli nurjumise. Ühilduvusrežiimis kasutatakse vana päringustruktuuri. See stsenaarium on endiselt CVE-2024-26248 ja CVE-2024-29056 suhtes haavatav.
Jah. Selle põhjuseks on see, et uus võrgupileti sisselogimisvoog võib olla vaja marsruutida üle domeeni, et jõuda teenusekonto domeenini.
PAC-valideerimine võidakse vahele jätta teatud juhtudel, sealhulgas ( kuid mitte ainult) järgmistel juhtudel.
-
Kui teenusel on TCB õigus. Üldiselt on see õigus süsteemikonto kontekstis töötavatel teenustel (nt SMB failiketastel või LDAP-serveritel).
-
Kui teenus käivitatakse toiminguajastist.
Muul juhul kontrollitakse PAC-i valideerimist kõigi sissetulevate Kerberose autentimisvoogude puhul.
Need CV-sid hõlmavad õiguste kohalikku suurendamist, mille korral Windows Workstationis töötav pahatahtlik või ohtu sattunud teenusekonto proovib kohalike haldusõiguste saamiseks oma õigusi kõrgemale tõsta. See tähendab, et see mõjutab ainult sissetulevat Kerberose autentimist aktsepteerivat Windows Workstationi.