PÄIVITETTY 12.7.2022

Yhteenveto

CVE-2021-42287 korjaa suojauksen ohitushaavoittuvuuden, joka vaikuttaa Kerberos Privilege Attribute Certificate (PAC) -varmenteeseen ja sallii mahdollisten hyökkääjien tekeytyä toimialueen ohjauskoneeksi. Jos haluat hyödyntää tätä haavoittuvuutta, vaarantunut toimialuetili saattaa aiheuttaa sen, että Avainten jakelukeskus (KDC) luo palvelupyynnön, jonka käyttöoikeustaso on korkeampi kuin vaarantuneella tilillä. Se tekee tämän estämällä KDC:tä tunnistamasta tiliä, jolle suurempi käyttöoikeuspalvelupyyntö on tarkoitettu.

Parannettu todentamisprosessi CVE-2021-42287:ssä lisää uusia tietoja alkuperäisestä pyytäjästä Kerberos Ticket-Granting Tickets (TGT) -palvelupakettiin. Kun tilille luodaan myöhemmin Kerberos-palvelupyyntö, uusi todennusprosessi varmistaa, että TGT:n pyytänyt tili on sama tili, johon viitataan palvelulipussa.

Kun windows-päivitykset on asennettu 9.11.2021 tai sitä uudemmissa versioissa, pac-tietokoneet lisätään kaikkien toimialuetilien TGT:hen, myös niiden, jotka ovat aiemmin päättäneet hylätä PAC:t.

Toimi

Voit suojata ympäristösi ja välttää käyttökatkot noudattamalla seuraavia ohjeita:

  1. Päivitä kaikki laitteet, jotka isännöivät Active Directory -toimialueen ohjauskoneen roolia asentamalla 9. marraskuuta 2021 julkaistun suojauspäivityksen ja 14. marraskuuta 2021 julkaistun OOB (Out-band) -päivityksen. Etsi OOB KB -numero käyttöjärjestelmällesi alla.

    OS

    KB-artikkelinumero

    Windows Server 2016

    5008601

    Windows Server 2019

    5008602

    Windows Server 2012 R2

    5008603

    Windows Server 2012

    5008604

    Windows Server 2008 R2 SP1

    5008605

    Windows Server 2008 SP2

    5008606

  2. Kun olet asentanut 9. marraskuuta 2021 julkaistun suojauspäivityksen ja 14. marraskuuta 2021 julkaistun OOB-päivityksen kaikkiin Active Directory -toimialueen ohjauskoneisiin vähintään 7 päivän ajan, suosittelemme vahvasti, että otat pakotustilan käyttöön kaikissa Active Directory -toimialueen ohjauskoneissa.

  3. Pakotustila otetaan käyttöön kaikissa Windowsin toimialueen ohjauskoneissa 11. lokakuuta 2022 julkaistusta pakotusvaiheen päivityksestä alkaen, ja se on pakollinen.

Windows-päivitysten ajoitus

Nämä Windows Päivitykset julkaistaan kolmessa vaiheessa:

  1. Ensimmäinen käyttöönotto – Päivityksen sekä PacRequestorEnforcement-rekisteriavaimen esittely

  2. Toinen käyttöönotto – PacRequestorEnforcement-arvon 0 poistaminen (rekisteriavaimen poistaminen käytöstä)

  3. Pakotusvaihe – Pakotustila on käytössä. PacRequestorEnforcement-rekisteriavaimen poistaminen

9. marraskuuta 2021: Ensimmäinen käyttöönottovaihe

Ensimmäinen käyttöönottovaihe alkaa 9. marraskuuta 2021 julkaistusta Windows-päivityksestä. Tämä versio:

  • Lisää suojauksia CVE-2021-42287:ää vastaan

  • Lisää PacRequestorEnforcement-rekisteriarvon tuen, jonka avulla voit siirtyä pakotusvaiheeseen aikaisin

Lievennys koostuu Windows-päivitysten asentamisesta kaikkiin laitteisiin, joissa on toimialueen ohjauskoneen rooli, ja vain luku -toimialueen ohjauskoneisiin (RODCs).

(Päivitetty) 12. heinäkuuta 2022: Toinen käyttöönottovaihe

Toinen käyttöönottovaihe alkaa Windows-päivityksestä, joka julkaistiin 12. heinäkuuta 2022. Tämä vaihe poistaa PacRequestorEnforcement-asetuksen 0. PacRequestorEnforcement-asetuksen asettaminen 0:ksi tämän päivityksen asentamisen jälkeen vaikuttaa samalla tavalla kuin PacRequestorEnforcement-asetuksen asetukseksi 1. Toimialueen ohjauskoneet ovat käyttöönottotilassa.

HuomautusTämä vaihe ei ole tarpeen, jos PacRequestorEnforcement-arvoksi ei ole koskaan määritetty 0 ympäristössäsi. Tämä vaihe auttaa varmistamaan, että asiakkaat, jotka määrittävät PacRequestorEnforcementin arvoksi 0, siirtyvät asetukseen 1 ennen pakotusvaihetta.

Huomautus Tässä päivityksessä oletetaan, että kaikki toimialueen ohjauskoneet päivitetään 9. marraskuuta 2021 tai uudemmassa Windows-päivityksessä.

(Päivitetty) 11. lokakuuta 2022: Täytäntöönpanovaihe

11. lokakuuta 2022 -julkaisu siirtää kaikki Active Directory -toimialueen ohjauskoneet pakotusvaiheeseen. Pakotusvaihe poistaa myös PacRequestorEnforcement-rekisteriavaimen kokonaan. Tämän seurauksena 11. lokakuuta 2022 päivityksen asentaneet Windowsin toimialueen ohjauskoneet eivät enää ole yhteensopivia seuraavien kanssa:

  • Toimialueen ohjauskoneet, jotka eivät asentaneet 9. marraskuuta 2021 tai uudempia päivityksiä.

  • Toimialueen ohjauskoneet, jotka asensivat 9. marraskuuta 2021 tai uudemmat päivitykset, mutta eivät ole vielä asentaneet 12. heinäkuuta 2022 julkaistua päivitystä JAjoiden PacRequestorEnforcement-rekisteriarvo on 0.

11. lokakuuta 2022 päivityksen asentaneet Windowsin toimialueen ohjauskoneet ovat kuitenkin yhteensopivia seuraavien kanssa:

  • Windowsin toimialueen ohjauskoneet, jotka ovat asentaneet 11. lokakuuta 2022 tai uudemmat päivitykset

  • Ikkunan toimialueen ohjauskoneet, jotka ovat asentaneet 9. marraskuuta 2021 tai uudemmat päivitykset ja joilla on PacRequestorEnforcement-arvo tai joko 1 tai 2

Rekisteriavaimen tiedot

Kun olet asentanut CVE-2021-42287-suojaukset Windows-päivityksiin, jotka on julkaistu 9. marraskuuta 2021 ja 14. kesäkuuta 2022 välisenä aikana, seuraava rekisteriavain on saatavilla:

Rekisterin aliavain

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Arvo

PacRequestorEnforcement

Tietotyyppi

REG_DWORD

Tietoja

1: Lisää uusi PAC käyttäjille, jotka ovat todentaneet active directory -toimialueen ohjauskoneella, johon on asennettu 9. marraskuuta 2021 tai sitä uudemmat päivitykset. Todennuksella, jos käyttäjällä on uusi PAC, PAC vahvistetaan. Jos käyttäjällä ei ole uutta PAC-toimintoa, mitään lisätoimia ei tehdä. Active Directory -toimialueen ohjauskoneet tässä tilassa ovat käyttöönottovaiheessa.

2: Lisää uusi PAC käyttäjille, jotka ovat todentaneet Active Directory -toimialueen ohjauskoneella, johon on asennettu 9. marraskuuta 2021 tai sitä uudemmat päivitykset. Todennuksella, jos käyttäjällä on uusi PAC, PAC vahvistetaan. Jos käyttäjällä ei ole uutta PAC-toimintoa, todennus on estetty. Active Directory -toimialueen ohjauskoneet ovat tässä tilassa pakotusvaiheessa.

0: Poistaa rekisteriavaimen käytöstä. Ei suositella. Active Directory -toimialueen ohjauskoneet ovat tässä tilassa Poissa käytöstä -vaiheessa. Tätä arvoa ei ole 12.7.2022 tai sitä uudempien päivitysten jälkeen.

TärkeääAsetus 0 ei ole yhteensopiva asetuksen 2 kanssa. Ajoittaisia virheitä voi ilmetä, jos molempia asetuksia käytetään puuryhmässä. Jos asetus 0 on käytössä, suosittelemme, että siirrät asetuksen 0 (Poista käytöstä) asetukseksi 1 (käyttöönotto) vähintään viikon ajan ennen siirtymistä asetukseen 2 (pakotustila).

Oletus

1 (kun rekisteriavainta ei ole määritetty)

Tarvitaanko uudelleenkäynnistystä?

Ei

Tapahtumien valvonta

9. marraskuuta 2021 julkaistu Windows-päivitys lisää myös uusia tapahtumalokeja.

PAC ilman määritteitä

KDC kohtaa TGT:n ilman PAC-määritepuskuria. On todennäköistä, että lokien toinen KDC ei sisällä päivitystä tai on poissa käytöstä -tilassa.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

35

Tapahtuman teksti

Key Distribution Center (KDC) kohtasi lipun myöntävän lipun (TGT) toisesta KDC:stä ("<KDC Name>"), joka ei sisältänyt PAC-määritteiden kenttää. 

Lippu ilman PAC:tä

KDC kohtaa TGT: n tai muun todistelipun ilman PAC: tä. Tämä estää KDC:tä valvomasta lippua turvatarkastuksissa.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Käyttöönottovaiheen varoitus

Virhe pakotusvaiheessa

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

36

Tapahtuman teksti

Key Distribution Center (KDC) kohtasi lipun, joka ei sisältänyt PAC:tä käsitellessään toisen lipun pyyntöä. Tämä esti suojaustarkistusten suorittamisen ja saattoi avata tietoturva-aukkoja. 

Asiakas: <toimialuenimi>\<käyttäjänimi>

Lippu: <palvelun nimi>

Lippu ilman pyytäjää

KDC kohtaa TGT- tai muun todistelipun ilman PAC Requestor -puskuria. On todennäköistä, että PAC:n muodostanut KDC ei sisällä päivitystä tai on poissa käytöstä -tilassa.

HuomautusKatso tärkeitä tietoja tapahtumasta 37 Tunnetut ongelmat -osiosta.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Käyttöönottovaiheen varoitus

Virhe pakotusvaiheessa

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

37

Tapahtuman teksti

Key Distribution Center (KDC) kohtasi lipun, joka ei sisältänyt tietoja tilistä, joka pyysi lippua käsitellessään toisen lipun pyyntöä. Tämä esti suojaustarkistusten suorittamisen ja saattoi avata tietoturva-aukkoja. 

Ticket PAC: <KDC Name>

 Asiakas: <toimialuenimi>\<asiakkaan nimi>

Lippu: <palvelun nimi>

Pyynnön esittäjän ristiriita

KDC kohtaa TGT-lipun tai muun todistelipun, eikä TGT-lippua tai todistelippua pyytänyt tili vastaa tiliä, jolle palvelulippu on rakennettu.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Virhe

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

38

Tapahtuman teksti

Key Distribution Center (KDC) kohtasi lipun, joka sisälsi epäyhtenäisiä tietoja lippua pyytävästä tilistä. Tämä voi tarkoittaa, että tili on nimetty uudelleen lipun antamisen jälkeen, mikä on saattanut olla osa hyökkäysyritystä. 

Ticket PAC: <Kdc Name>

Asiakas: <toimialuenimi>\<käyttäjänimi>

Lippu: <palvelun nimi>

Tilin SID-tilin pyytäminen Active Directorysta: <SID->

SID-tilin pyytäminen ticketistä: <SID>

Tunnetut ongelmat

Oire

Vaihtoehtoinen menetelmä

Kun windows-päivitykset on julkaistu 9. marraskuuta 2021 tai uudemmissa toimialueen ohjauskoneissa, jotkin asiakkaat saattavat nähdä uuden valvontatapahtumatunnuksen 37 kirjautuneena tiettyjen salasana-asetusten jälkeen tai muuttaa toimintoja, kuten:

  • Vikasietoklusterin CNO- tai VCO-klusterin päivittäminen tai korjaaminen

  • Käyttäjän salasanan palauttaminen Active Directoryn käyttäjät ja tietokoneet (dsa.msc) -konsolista

  • Uuden käyttäjän luominen Active Directoryn käyttäjät ja tietokoneet (dsa.msc) -konsolista

  • Kolmannen osapuolen toimialueeseen liitettyjen laitteiden salasanan vaihtaminen

Jos et näe tapahtumatunnusta 37 9. marraskuuta 2021 tai sitä uudemman viikon ajan julkaistujen Windows-päivitysten asentamisen jälkeen ja PacRequestorEnforcement on joko 1 tai 2, se ei vaikuta ympäristöön.

Jos määrität PacRequestorEnforcement = 1, tapahtumatunnus 37 kirjataan varoitukseksi, mutta salasanan muutospyynnöt onnistuvat eivätkä vaikuta käyttäjiin.

Jos määrität PacRequestorEnforcement = 2, salasanan muutospyynnöt epäonnistuvat ja myös yllä luetellut toiminnot epäonnistuvat.

Tämä ongelma on korjattu seuraavissa päivityksissä:

  • Windows 11 – KB5011563

  • Windows Server 2022 – KB5011558

  • Windows 10, versio 20H2, Windows 10 versio 21H1 ja Windows 10, versio 21H2 - KB5011543

  • Windows 10, versio 1809 ja Windows Server 2019 – KB5011551

  • Windows 10, versio 1607 ja Windows Server 2016 - KB5012596

  • Windows Server 2012 R2 – KB5012670

  • Windows Server 2012 – KB5012666

  • Windows Server 2008 R2 – KB5012649

  • Windows Server 2008 SP2 – KB5012632

Usein kysytyt kysymykset

K1 Mitä tapahtuu, jos käytössäni on active directory -toimialueen ohjauskoneiden sekoitus, joka päivitetään ja jota ei päivitetä?

A1. Toimialueen ohjauskoneiden yhdistelmä, jota ei päivitellä, mutta jonka oletusarvoinen PacRequestorEnforcement-rekisteriavaimen arvo on 1, on yhteensopiva keskenään. Microsoft kuitenkin suosittelee vahvasti, että toimialueen ohjauskoneet eivät päivity eikä päivity ympäristössä.

Q2 Mitä tapahtuu, jos minulla on active directory -toimialueen ohjauskoneiden sekoitus, jolla on erilaisia PacRequestorEnforcement-arvoja?

A2. Toimialueen ohjauskoneiden yhdistelmä, jonka PacRequestorEnforcement-arvot ovat 0 ja 1, ovat yhteensopivia keskenään. Toimialueen ohjauskoneiden yhdistelmä, jonka PacRequestorEnforcement-arvot ovat 1 ja 2, ovat yhteensopivia keskenään. Sellaisten toimialueen ohjauskoneiden yhdistelmä, joiden PacRequestorEnforcement-arvot ovat 0 ja 2 , eivät ole yhteensopivia keskenään ja voivat aiheuttaa ajoittaisia virheitä. Lisätietoja on Rekisteriavaimen tiedot -osassa.

Tarvitsetko lisäohjeita?

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Microsoft Insider-käyttäjille

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?

Kiitos palautteesta!

×