Yhteenveto
11. tammikuuta 2022 Windows päivitykset ja uudemmat Windows lisäävät CVE-2022-21913 -suojausta.
Kun olet asentanut 11. tammikuuta 2022 tai Windows-päivitykset tai uudemmat Windows-päivitykset, ADVANCED Encryption Standard (AES) -salaus määritetään ensisijaisena salausmenetelmänä Windows-asiakasasiakkaissa, kun käytät vanhan paikallisen suojauksen myöntäjä (Domain Policy) (MS-LSAD) -protokollaa verkon kautta lähetettäville luotetuille toimialueen objektisalasanoille. Tämä on tosi vain, jos palvelin tukee AES-salausta. Jos palvelin ei tue AES-salausta, järjestelmä sallii vanhan RC4-salauksen varalta.
CVE-2022-21913-protokollan muutokset koskevat MS-LSAD-protokollaa. Ne ovat riippumattomia muista protokollista. MS-LSAD käyttää SMB (Server Message Block) -estoa etäpuhelussa
(RPC) ja nimetyt putket. Vaikka SMB tukee salausta, se ei ole oletusarvoisesti käytössä. CVE-2022-21913 -muutokset ovat oletusarvoisesti käytössä, ja ne tarjoavat lisäturvaa LSAD-kerrokseen. 11. tammikuuta 2022 ja Windows -päivityksiin sekä uudempiin Windows-versioihin sisältyvien CVE-2022-21913-suojausten asentamisen lisäksi ei tarvita muita määritysmuutoksia, jotka sisältyvät kaikkiin tuettuihin Windows-versioihin. Ei-tuetut Windows on lopetettava tai päivitettävä tuettuun versioon.
Huomautus CVE-2022-21913 muokkaa vain sitä, miten luottamussalasanat salataan kuljetuksen aikana, kun käytät MS-LSAD-protokollan tiettyjä ohjelmointirajapintoja mutta et erityisesti muuta salasanojen tallennusta levossa. Lisätietoja siitä, miten salasanat salataan Active Directoryssa ja paikallisesti SAM-tietokannassa (rekisterissä), on ohjeaiheessa Yleistä salasanoista.
Lisätietoja
11. tammikuuta 2022 mennessä tehdyt muutokset, päivitykset
-
Käytäntöobjektin kuvio
Päivitykset muokkaavat protokollan Käytäntöobjekti-kuviota lisäämällä uuden Avaa käytäntö -menetelmän, jonka avulla asiakas ja palvelin voivat jakaa tietoja AES-tuesta.Vanha MENETELMÄ käyttäen RC4:tä
Uusi menetelmä AES:n avulla
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Täydellinen luettelo MS-LSAR-protokollan opnums-protokollasta on kohdassa [MS-LSAD]: Viestien käsittelytapahtumat ja sequencing-säännöt.
-
Luotettu toimialueobjekti -kaava
Päivitykset muokkaavat luotetun toimialueen objektin luontikaavaa lisäämällä uuden tavan luoda luottamus, joka salaa todennustiedot AES:n avulla.
LsaCreateTrustedDomainEx-ohjelmointirajapinta on nyt parempi kuin uusi menetelmä, jos asiakas ja palvelin päivitetään ja ne ovat vanhemman menetelmän mukaisesti.
Vanha MENETELMÄ käyttäen RC4:tä
Uusi menetelmä AES:n avulla
LsarCreateTrustedDomainEx2 (opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Päivitykset muokkaavat protokollan Luotetut toimialueobjektien joukon kuviota lisäämällä kaksi uutta luotetun tiedon luokkaa LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49) -menetelmiin. Voit määrittää luotetun toimialueen objektin tiedot seuraavasti.
Vanha MENETELMÄ käyttäen RC4:tä
Uusi menetelmä AES:n avulla
LsarSetInformationTrustedDomain (Opnum 27) yhdessä TrustedDomainAuthInformationInternal- tai TrustedDomainFullInformationInternal-tunnuksen kanssa (sisältää RC4:tä käyttävän salatun luottamussalasanan)
LsarSetInformationTrustedDomain (Opnum 27) yhdessä TrustedDomainAuthInformationInternalAes- tai TrustedDomainFullInformationAes-kohdan kanssa (sisältää AES:tä käyttävän salatun luottamussalasanan)
LsarSetTrustedDomainInfoByName (Opnum 49) yhdessä TrustedDomainAuthInformationInternal- tai TrustedDomainFullInformationInternal-funktion kanssa (sisältää RC4:tä ja muita määritteitä käyttävän salatun luottamussalasanan)
LsarSetTrustedDomainInfoByName (Opnum 49) yhdessä TrustedDomainAuthInformationInternalAes- tai TrustedDomainFullInformationInternalAes-funktion kanssa (sisältää salatun luottamussalasanan, joka käyttää AES:tä ja kaikkia muita määritteitä)
Miten uusi toiminta toimii
Aiemmin luotua LsarOpenPolicy2 -menetelmää käytetään yleensä kontekstikahvan avaten RPC-palvelimeen. Tämä on ensimmäinen funktio, joka on kutsuttava ottamaan yhteyttä paikallisen suojauksen myöntäjän (toimialuekäytännön) etäprotokollatietokantaan. Kun olet asentanut nämä päivitykset, LsarOpenPolicy2 -menetelmä korvaa uuden LsarOpenPolicy3 -menetelmän.
Päivitetty asiakas, joka kutsuu LsaOpenPolicy-ohjelmointirajapintaa, kutsuu nyt ensin LsarOpenPolicy3-menetelmää. Jos palvelinta ei päivitetä eikä LsarOpenPolicy3-menetelmää ole käytetty, asiakas palaa LsarOpenPolicy2-menetelmään ja käyttää aiempia RC4-salausta käyttävää menetelmää.
Päivitetty palvelin palauttaa uuden bitin LsarOpenPolicy3-menetelmän vastaukseen, kuten LSAPR_REVISION_INFO_V1. Lisätietoja on MS-LSAD:nAES Cipher Usage- ja LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES -osissa.
Jos palvelin tukee AES:tä, asiakas käyttää uusia menetelmiä ja uusia tietoluokkia myöhemmissä luotetuissa toimialueissa luomis- ja joukkotoiminnoilla. Jos palvelin ei palauta tätä merkintää tai jos asiakasohjelmaa ei päivitetä, asiakas palaa käyttämään aiempia RC4-salausta käyttäen.
Tapahtumien kirjaaminen
11. tammikuuta 2022 päivittyvät päivitykset lisäävät suojaustapahtumalokiin uuden tapahtuman, joka auttaa tunnistamaan laitteet, joita ei ole päivitetty, ja parantamaan suojausta.
Arvo |
Merkitys |
---|---|
Tapahtumalähde |
Microsoft-Windows-Security |
Tapahtumatunnus |
6425 |
Taso |
Tiedot |
Tapahtumaviestin teksti |
Verkkosovellus on käyttänyt vanhaa RPC-menetelmää luotetun toimialueobjektin todennustietojen muokkaamisen aikana. Todennustiedot salattiin vanhan salausalgoritmin avulla. Harkitse asiakaskäyttöjärjestelmän tai -sovelluksen päivittämistä tämän menetelmän uusimman ja turvallisen version käyttöä varten. Luotettu toimialue:
Muokkaaja:
Asiakkaan verkko-osoite: Lisätietoja on kohdassa https://go.microsoft.com/fwlink/?linkid=2161080. |
Usein kysytyt kysymykset
Kysymys 1: Mitkä skenaariot käynnistävät AES:n ja RC4:n heikkenemisen?
A1: Järjestelmä kaatuu, jos palvelin tai asiakas ei tue AES:tä.
K2: Mistä tiedän, onko RC4-salausta tai AES-salausta neuvoteltu?
A2: Päivitetyt palvelimet kirjaavat tapahtuman 6425, kun käytetään RC4:tä käyttäen vanhoja menetelmiä.
K3: Voinko vaatia AES-salausta palvelimessa ja päivittääkö Windows AES-salausta ohjelmallisesti?
A3: Tällä hetkellä pakotustilaa ei ole käytettävissä. Saattaa kuitenkin olla myöhemminkin, vaikka tällaista muutosta ei ajoiteta.
Kysymys 4: Tukevatko kolmannen osapuolen asiakkaat CVE-2022-21913-ohjelmia AES-neuvottelua, kun palvelin tukee sitä? Pitäisikö minun ottaa yhteyttä Microsoftin tukeen tai kolmannen osapuolen tukitiimiin tämän kysymyksen tueksi?
A4: Jos kolmannen osapuolen laite tai sovellus ei käytä MS-LSAD-protokollaa, tämä ei ole tärkeää. MS-LSAD-protokollaa toteuttavat kolmannen osapuolen toimittajat voivat halutessaan ottaa tämän protokollan käyttöön. Saat lisätietoja ottamalla yhteyttä kolmannen osapuolen toimittajaan.
K5: Onko muita määritysmuutoksia tehtävä?
A5: Muita määritysmuutoksia ei tarvita.
K6: Mikä käyttää tätä protokollaa?
A6: MS-LSAD-protokollaa käyttävät monet Windows, kuten Active Directory ja työkalut, kuten Active Directory -toimialueet ja luottamuskonsolit. Sovellukset saattavat käyttää tätä protokollaa myös advapi32-kirjaston ohjelmointirajapintojen kautta, kuten LsaOpenPolicyn tai LsaCreateTrustedDomainExin kautta.