KB5008380 – Todennuspäivitykset (CVE-2021-42287)

Yhteenveto

CVE-2021-42287 korjaa suojauksen ohitushaavoittuvuuden, joka vaikuttaa Kerberos Privilege Attribute Certificate (PAC) -varmenteeseen ja sallii mahdollisten hyökkääjien tekeytyä toimialueen ohjauskoneeksi. Jos haluat hyödyntää tätä haavoittuvuutta, vaarantunut toimialuetili saattaa aiheuttaa sen, että Avainten jakelukeskus (KDC) luo palvelupyynnön, jonka käyttöoikeustaso on korkeampi kuin vaarantuneella tilillä. Se tekee tämän estämällä KDC:tä tunnistamasta tiliä, jolle suurempi käyttöoikeuspalvelupyyntö on tarkoitettu.

Parannettu todentamisprosessi CVE-2021-42287:ssä lisää uusia tietoja alkuperäisestä pyytäjästä Kerberos Ticket-Granting Tickets (TGT) -palvelupakettiin. Kun tilille luodaan myöhemmin Kerberos-palvelupyyntö, uusi todennusprosessi varmistaa, että TGT:n pyytänyt tili on sama tili, johon viitataan palvelulipussa.

Kun windows-päivitykset on asennettu 9.11.2021 tai sitä uudemmissa versioissa, pac-tietokoneet lisätään kaikkien toimialuetilien TGT:hen, myös niiden, jotka ovat aiemmin päättäneet hylätä PAC:t.

Toimi

Voit suojata ympäristösi ja välttää käyttökatkot noudattamalla seuraavia ohjeita:

Päivitä kaikki laitteet, jotka isännöivät Active Directory -toimialueen ohjauskoneen roolia asentamalla 9. marraskuuta 2021 julkaistun suojauspäivityksen ja 14. marraskuuta 2021 julkaistun OOB (Out-band) -päivityksen. Etsi OOB KB -numero käyttöjärjestelmällesi alla.

Käyttöjärjestelmä	KB-numero
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Kun olet asentanut 9. marraskuuta 2021 julkaistun suojauspäivityksen ja 14. marraskuuta 2021 julkaistun OOB-päivityksen kaikkiin Active Directory -toimialueen ohjauskoneisiin vähintään 7 päivän ajan, suosittelemme vahvasti, että otat pakotustilan käyttöön kaikissa Active Directory -toimialueen ohjauskoneissa.
Pakotustila otetaan käyttöön kaikissa Windowsin toimialueen ohjauskoneissa 11. lokakuuta 2022 julkaistusta pakotusvaiheen päivityksestä alkaen, ja se on pakollinen.

Windows-päivitysten ajoitus – (päivitetty 31.1.2023)

Nämä Windows Päivitykset julkaistaan kolmessa vaiheessa:

Ensimmäinen käyttöönotto – Päivityksen sekä PacRequestorEnforcement-rekisteriavaimen esittely
Toinen käyttöönotto – PacRequestorEnforcement-arvon 0 poistaminen (rekisteriavaimen poistaminen käytöstä)
Pakotusvaihe – Pakotustila on käytössä. Tämä vaihe poistaa PacRequestorEnforcement-avaimen eikä enää lue sitä

9. marraskuuta 2021: Ensimmäinen käyttöönottovaihe

Ensimmäinen käyttöönottovaihe alkaa 9. marraskuuta 2021 julkaistusta Windows-päivityksestä. Tämä versio:

Lisää suojauksia CVE-2021-42287:ää vastaan
Lisää PacRequestorEnforcement-rekisteriarvon tuen, jonka avulla voit siirtyä pakotusvaiheeseen aikaisin

Lievennys koostuu Windows-päivitysten asentamisesta kaikkiin laitteisiin, joissa on toimialueen ohjauskoneen rooli, ja vain luku -toimialueen ohjauskoneisiin (RODCs).

12. heinäkuuta 2022: Toinen käyttöönottovaihe

Toinen käyttöönottovaihe alkaa Windows-päivityksestä, joka julkaistiin 12. heinäkuuta 2022. Tämä vaihe poistaa PacRequestorEnforcement-asetuksen 0. PacRequestorEnforcement-asetuksen asettaminen 0:ksi tämän päivityksen asentamisen jälkeen vaikuttaa samalla tavalla kuin PacRequestorEnforcement-asetuksen asetukseksi 1. Toimialueen ohjauskoneet ovat käyttöönottotilassa.

Huomautus Tämä vaihe ei ole tarpeen, jos PacRequestorEnforcement-arvoksi ei ole koskaan määritetty 0 ympäristössäsi. Tämä vaihe auttaa varmistamaan, että asiakkaat, jotka määrittävät PacRequestorEnforcementin arvoksi 0, siirtyvät asetukseen 1 ennen pakotusvaihetta.

Huomautus Tässä päivityksessä oletetaan, että kaikki toimialueen ohjauskoneet päivitetään 9. marraskuuta 2021 tai uudemmassa Windows-päivityksessä.

11. lokakuuta 2022: Täytäntöönpanovaihe - (päivitetty 31.1.2023)

11. lokakuuta 2022 -julkaisu siirtää kaikki Active Directory -toimialueen ohjauskoneet pakotusvaiheeseen. Pakotusvaihe poistaa PacRequestorEnforcement-avaimen , eikä sitä enää lueta. Tämän seurauksena 11. lokakuuta 2022 päivityksen asentaneet Windowsin toimialueen ohjauskoneet eivät enää ole yhteensopivia seuraavien kanssa:

Toimialueen ohjauskoneet, jotka eivät asentaneet 9. marraskuuta 2021 tai uudempia päivityksiä.
Toimialueen ohjauskoneet, jotka asensivat 9. marraskuuta 2021 tai uudemmat päivitykset, mutta eivät ole vielä asentaneet 12. heinäkuuta 2022 julkaistua päivitystä ja joiden PacRequestorEnforcement-rekisteriarvo on 0.

11. lokakuuta 2022 päivityksen asentaneet Windowsin toimialueen ohjauskoneet ovat kuitenkin yhteensopivia seuraavien kanssa:

Windowsin toimialueen ohjauskoneet, jotka ovat asentaneet 11. lokakuuta 2022 tai uudemmat päivitykset
Ikkunan toimialueen ohjauskoneet^{, jotka} ovat asentaneet 9. marraskuuta 2021 tai uudemmat päivitykset ja joilla on PacRequestorEnforcement-arvo tai joko 1 tai 2

Rekisteriavaimen tiedot

Kun olet asentanut CVE-2021-42287-suojaukset Windows-päivityksiin, jotka on julkaistu 9. marraskuuta 2021 ja 14. kesäkuuta 2022 välisenä aikana, seuraava rekisteriavain on saatavilla:

Rekisterin aliavain	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Arvo	PacRequestorEnforcement
Tietotyyppi	REG_DWORD
Tiedot	1: Lisää uusi PAC käyttäjille, jotka ovat todentaneet active directory -toimialueen ohjauskoneella, johon on asennettu 9. marraskuuta 2021 tai sitä uudemmat päivitykset. Todennuksella, jos käyttäjällä on uusi PAC, PAC vahvistetaan. Jos käyttäjällä ei ole uutta PAC-toimintoa, mitään lisätoimia ei tehdä. Active Directory -toimialueen ohjauskoneet tässä tilassa ovat käyttöönottovaiheessa. 2: Lisää uusi PAC käyttäjille, jotka ovat todentaneet Active Directory -toimialueen ohjauskoneella, johon on asennettu 9. marraskuuta 2021 tai sitä uudemmat päivitykset. Todennuksella, jos käyttäjällä on uusi PAC, PAC vahvistetaan. Jos käyttäjällä ei ole uutta PAC-toimintoa, todennus on estetty. Active Directory -toimialueen ohjauskoneet ovat tässä tilassa pakotusvaiheessa. 0: Poistaa rekisteriavaimen käytöstä. Ei suositella. Active Directory -toimialueen ohjauskoneet ovat tässä tilassa Poissa käytöstä -vaiheessa. Tätä arvoa ei ole 12.7.2022 tai sitä uudempien päivitysten jälkeen. Tärkeää Asetus 0 ei ole yhteensopiva asetuksen 2 kanssa. Ajoittaisia virheitä voi ilmetä, jos molempia asetuksia käytetään puuryhmässä. Jos asetus 0 on käytössä, suosittelemme, että siirrät asetuksen 0 (Poista käytöstä) asetukseksi 1 (käyttöönotto) vähintään viikon ajan ennen siirtymistä asetukseen 2 (pakotustila).
Oletus	1 (kun rekisteriavainta ei ole määritetty)
Tarvitaanko uudelleenkäynnistystä?	Ei

Tapahtumien valvonta

9. marraskuuta 2021 julkaistu Windows-päivitys lisää myös uusia tapahtumalokeja.

PAC ilman määritteitä

KDC kohtaa TGT:n ilman PAC-määritepuskuria. On todennäköistä, että lokien toinen KDC ei sisällä päivitystä tai on poissa käytöstä -tilassa.

Tapahtumaloki	Järjestelmä
Tapahtumatyyppi	Varoitus
Tapahtumalähde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Tapahtumatunnus	35
Tapahtuman teksti	Key Distribution Center (KDC) kohtasi lipun myöntävän lipun (TGT) toisesta KDC:stä ("<KDC Name>"), joka ei sisältänyt PAC-määritteiden kenttää.

Lippu ilman PAC:tä

KDC kohtaa TGT: n tai muun todistelipun ilman PAC: tä. Tämä estää KDC:tä valvomasta lippua turvatarkastuksissa.

Tapahtumaloki	Järjestelmä
Tapahtumatyyppi	Käyttöönottovaiheen varoitus Virhe pakotusvaiheessa
Tapahtumalähde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Tapahtumatunnus	36
Tapahtuman teksti	Key Distribution Center (KDC) kohtasi lipun, joka ei sisältänyt PAC:tä käsitellessään toisen lipun pyyntöä. Tämä esti suojaustarkistusten suorittamisen ja saattoi avata tietoturva-aukkoja. Asiakas: <toimialuenimi>\<käyttäjänimi> Lippu: <palvelun nimi>

Lippu ilman pyytäjää

KDC kohtaa TGT- tai muun todistelipun ilman PAC Requestor -puskuria. On todennäköistä, että PAC:n muodostanut KDC ei sisällä päivitystä tai on poissa käytöstä -tilassa.

Huomautus Katso tärkeitä tietoja tapahtumasta 37 Tunnetut ongelmat -osiosta.

Tapahtumaloki	Järjestelmä
Tapahtumatyyppi	Käyttöönottovaiheen varoitus Virhe pakotusvaiheessa
Tapahtumalähde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Tapahtumatunnus	37
Tapahtuman teksti	Key Distribution Center (KDC) kohtasi lipun, joka ei sisältänyt tietoja tilistä, joka pyysi lippua käsitellessään toisen lipun pyyntöä. Tämä esti suojaustarkistusten suorittamisen ja saattoi avata tietoturva-aukkoja. Ticket PAC: <KDC Name> Asiakas: <toimialuenimi>\<asiakkaan nimi> Lippu: <palvelun nimi>

Pyynnön esittäjän ristiriita

KDC kohtaa TGT-lipun tai muun todistelipun, eikä TGT-lippua tai todistelippua pyytänyt tili vastaa tiliä, jolle palvelulippu on rakennettu.

Tapahtumaloki	Järjestelmä
Tapahtumatyyppi	Virhe
Tapahtumalähde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Tapahtumatunnus	38
Tapahtuman teksti	Key Distribution Center (KDC) kohtasi lipun, joka sisälsi epäyhtenäisiä tietoja lippua pyytävästä tilistä. Tämä voi tarkoittaa, että tili on nimetty uudelleen lipun antamisen jälkeen, mikä on saattanut olla osa hyökkäysyritystä. Ticket PAC: <Kdc Name> Asiakas: <toimialuenimi>\<käyttäjänimi> Lippu: <palvelun nimi> Tilin SID-tilin pyytäminen Active Directorysta: <SID-> SID-tilin pyytäminen ticketistä: <SID>

Tunnetut ongelmat

Oire	Vaihtoehtoinen menetelmä
Kun windows-päivitykset on julkaistu 9. marraskuuta 2021 tai uudemmissa toimialueen ohjauskoneissa, jotkin asiakkaat saattavat nähdä uuden valvontatapahtumatunnuksen 37 kirjautuneena tiettyjen salasana-asetusten jälkeen tai muuttaa toimintoja, kuten: Vikasietoklusterin CNO- tai VCO-klusterin päivittäminen tai korjaaminen Käyttäjän salasanan palauttaminen Active Directoryn käyttäjät ja tietokoneet (dsa.msc) -konsolista Uuden käyttäjän luominen Active Directoryn käyttäjät ja tietokoneet (dsa.msc) -konsolista Kolmannen osapuolen toimialueeseen liitettyjen laitteiden salasanan vaihtaminen Jos et näe tapahtumatunnusta 37 9. marraskuuta 2021 tai sitä uudemman viikon ajan julkaistujen Windows-päivitysten asentamisen jälkeen ja PacRequestorEnforcement on joko 1 tai 2, se ei vaikuta ympäristöön. Jos määrität PacRequestorEnforcement = 1, tapahtumatunnus 37 kirjataan varoitukseksi, mutta salasanan muutospyynnöt onnistuvat eivätkä vaikuta käyttäjiin. Jos määrität PacRequestorEnforcement = 2, salasanan muutospyynnöt epäonnistuvat ja myös yllä luetellut toiminnot epäonnistuvat.	Tämä ongelma on korjattu seuraavissa päivityksissä: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10, versio 20H2, Windows 10 versio 21H1 ja Windows 10, versio 21H2 - KB5011543 Windows 10, versio 1809 ja Windows Server 2019 – KB5011551 Windows 10, versio 1607 ja Windows Server 2016 - KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Oire

Vaihtoehtoinen menetelmä

Kun windows-päivitykset on julkaistu 9. marraskuuta 2021 tai uudemmissa toimialueen ohjauskoneissa, jotkin asiakkaat saattavat nähdä uuden valvontatapahtumatunnuksen 37 kirjautuneena tiettyjen salasana-asetusten jälkeen tai muuttaa toimintoja, kuten:

Vikasietoklusterin CNO- tai VCO-klusterin päivittäminen tai korjaaminen
Käyttäjän salasanan palauttaminen Active Directoryn käyttäjät ja tietokoneet (dsa.msc) -konsolista
Uuden käyttäjän luominen Active Directoryn käyttäjät ja tietokoneet (dsa.msc) -konsolista
Kolmannen osapuolen toimialueeseen liitettyjen laitteiden salasanan vaihtaminen

Jos et näe tapahtumatunnusta 37 9. marraskuuta 2021 tai sitä uudemman viikon ajan julkaistujen Windows-päivitysten asentamisen jälkeen ja PacRequestorEnforcement on joko 1 tai 2, se ei vaikuta ympäristöön.

Jos määrität PacRequestorEnforcement = 1, tapahtumatunnus 37 kirjataan varoitukseksi, mutta salasanan muutospyynnöt onnistuvat eivätkä vaikuta käyttäjiin.

Jos määrität PacRequestorEnforcement = 2, salasanan muutospyynnöt epäonnistuvat ja myös yllä luetellut toiminnot epäonnistuvat.

Tämä ongelma on korjattu seuraavissa päivityksissä:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10, versio 20H2, Windows 10 versio 21H1 ja Windows 10, versio 21H2 - KB5011543
Windows 10, versio 1809 ja Windows Server 2019 – KB5011551
Windows 10, versio 1607 ja Windows Server 2016 - KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Usein kysytyt kysymykset

K1 Mitä tapahtuu, jos käytössäni on active directory -toimialueen ohjauskoneiden sekoitus, joka päivitetään ja jota ei päivitetä?

A1. Toimialueen ohjauskoneiden yhdistelmä, jota ei päivitellä, mutta jonka oletusarvoinen PacRequestorEnforcement-rekisteriavaimen arvo on 1, on yhteensopiva keskenään. Microsoft kuitenkin suosittelee vahvasti, että toimialueen ohjauskoneet eivät päivity eikä päivity ympäristössä.

Q2 Mitä tapahtuu, jos minulla on active directory -toimialueen ohjauskoneiden sekoitus, jolla on erilaisia PacRequestorEnforcement-arvoja?

A2. Toimialueen ohjauskoneiden yhdistelmä, jonka PacRequestorEnforcement-arvot ovat 0 ja 1, ovat yhteensopivia keskenään. Toimialueen ohjauskoneiden yhdistelmä, jonka PacRequestorEnforcement-arvot ovat 1 ja 2, ovat yhteensopivia keskenään. Sellaisten toimialueen ohjauskoneiden yhdistelmä, joiden PacRequestorEnforcement-arvot ovat 0 ja 2 , eivät ole yhteensopivia keskenään ja voivat aiheuttaa ajoittaisia virheitä. Lisätietoja on Rekisteriavaimen tiedot -osassa.