Muuta lokia
|
Muutos 1: 19. kesäkuuta 2023:
|
Tässä artikkelissa
Yhteenveto
Windows-päivitykset, jotka on julkaistu 8. marraskuuta 2022 tai sen jälkeen, korjaavat suojauksen ohituksen ja käyttöoikeuksien korotuksen todennusneuvottelussa heikon RC4-HMAC-neuvottelun avulla.
Tämä päivitys määrittää AES-salauksen oletussalaustyypiksi tileissä, joita ei ole vielä merkitty oletussalaustyypillä.
Voit suojata ympäristösi asentamalla 8. marraskuuta 2022 tai sen jälkeen julkaistut Windows-päivitykset kaikkiin laitteisiin, myös toimialueen ohjauskoneisiin. Katso Kohta Muutos 1.
Lisätietoja näistä haavoittuvuuksista on artikkelissa CVE-2022-37966.
Istunnon avainten salaustyyppien määrittäminen eksplisiittisesti
Käyttäjätileilläsi voi olla erikseen määritettyjä salaustyyppejä, jotka ovat alttiita CVE-2022-37966-käyttäjille. Etsi tilejä, joissa DES / RC4 on eksplisiittisesti käytössä, mutta ei AES:iä seuraavan Active Directory -kyselyn avulla:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Rekisteriavaimen asetukset
Kun olet asentanut Windows-päivitykset, jotka on päivätty 8. marraskuuta 2022 tai sen jälkeen, kerberos-protokollalle on saatavilla seuraava rekisteriavain:
DefaultDomainSupportedEncTypes
|
Rekisteriavaimen |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Arvo |
DefaultDomainSupportedEncTypes |
|
Tietotyyppi |
REG_DWORD |
|
Tietoarvo |
0x27 (oletus) |
|
Tarvitaanko uudelleenkäynnistystä? |
Ei |
Huomautus Jos sinun on muutettava Active Directory -käyttäjän tai -tietokoneen oletusarvoista tuettua salaustyyppiä, lisää ja määritä rekisteriavain manuaalisesti uuden tuetun salaustyypin määrittämistä varten. Tämä päivitys ei lisää rekisteriavainta automaattisesti.
Windowsin toimialueen ohjauskoneet käyttävät tätä arvoa määrittääkseen tuetut salaustyypit tileillä Active Directoryssa, joiden msds-SupportedEncryptionType-arvo on joko tyhjä tai sitä ei ole määritetty. Tietokone, jossa on tuettu Windows-käyttöjärjestelmän versio, määrittää automaattisesti kyseisen konetilin msds-SupportedEncryptionTypes-tyypit Active Directoryssa. Tämä perustuu kerberos-protokollan sallimien salaustyyppien määritettyyn arvoon. Lisätietoja on artikkelissa Verkon suojaus: Kerberosille sallittujen salaustyyppien määrittäminen.
Käyttäjätileillä, ryhmän hallitun palvelun tileillä ja muilla Active Directory -tileillä ei ole msds-SupportedEncryptionTypes-arvoa määritetty automaattisesti.
Jos haluat etsiä manuaalisesti määritettävät tuetut salaustyypit, tutustu tuettujen salaustyyppien bittimerkintöihin. Lisätietoja on ohjeaiheessa, mitä kannattaa tehdä ensin ympäristön valmistelemiseksi ja Kerberos-todennusongelmien estämiseksi.
Oletusarvon 0x27 (DES, RC4, AES Session Keys) valittiin tämän suojauspäivityksen vähimmäismuutokseksi. Suosittelemme, että asiakkaat määrittävät arvon 0x3C suojauksen lisäämiseksi, koska tämä arvo sallii sekä AES-salatut liput että AES-istuntoavaimet. Jos asiakkaat ovat noudattaneet ohjeitamme siirtyäkseen AES-only-ympäristöön, jossa RC4:ää ei käytetä Kerberos-protokollassa, suosittelemme, että asiakkaat määrittävät arvon 0x38. Katso Kohta Muutos 1.
CVE-2022-37966 -päivitykseen liittyvät Windows-tapahtumat
Kerberos Key Distribution Centeristä puuttuu vahvat tiliavaimet
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Virhe |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
42 |
|
Tapahtuman teksti |
Kerberos Key Distribution Centeristä puuttuu vahvat tiliavaimet: tilin nimi. Sinun on päivitettävä tämän tilin salasana, jotta voit estää epävarman salauksen käytön. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2210019. |
Jos tämä virhe ilmenee, sinun on todennäköisesti palautettava krbtgt-salasanasi, ennen kuin määrität KrbtgtFullPacSingature = 3 tai asennat Windows Päivitykset julkaistu 11. heinäkuuta 2023 tai sen jälkeen. Päivitys, joka ottaa CVE-2022-37967:n pakotustilan käyttöön ohjelmallisesti, on kuvattu seuraavassa Microsoft Knowledge Base -tietokannan artikkelissa:
KB5020805: CVE-2022-37967 :een liittyvien Kerberos-protokollamuutosten hallinta
Lisätietoja tästä on GitHub-sivuston New-KrbtgtKeys.ps1 ohjeaiheessa.
Usein kysytyt kysymykset (usein kysytyt kysymykset) ja tunnetut ongelmat
Tilit, jotka on merkitty eksplisiittiseen RC4-käyttöön, ovat haavoittuvia. Lisäksi ympäristöt, joissa ei ole AES-istuntoavaimia krbgt-tilillä, voivat olla haavoittuvia. Voit lieventää tätä ongelmaa noudattamalla ohjeita haavoittuvuuksien tunnistamiseen ja käyttämällä Rekisteriavain-asetusosaa nimenomaisesti määritettyjen salauksen oletusasetusten päivittämiseen.
Sinun on varmistettava, että kaikilla laitteillasi on yleinen Kerberos-salaustyyppi. Lisätietoja Kerberos-salaustyypeistä on artikkelissa Tuettujen Kerberos-salaustyyppien valinnan purkaminen.
Ympäristöt, joilla ei ole yleistä Kerberos-salaustyyppiä, ovat saattaneet toimia aiemmin, koska ne ovat lisänneet automaattisesti RC4:n tai lisänneet AES:n, jos toimialueen ohjauskoneet ovat poistaneet RC4:n käytöstä ryhmäkäytännön kautta. Tämä toiminta on muuttunut 8. marraskuuta 2022 tai sen jälkeen julkaistujen päivitysten myötä ja noudattaa nyt tiukasti sitä, mitä rekisteriavaimissa, msds-SupportedEncryptionTypes - ja DefaultDomainSupportedEncTypes -tyypeissä on määritetty.
Jos tilillä ei ole msds-SupportedEncryptionTypes-asetusta tai sen arvoksi on määritetty 0, toimialueen ohjauskoneet olettavat oletusarvoksi 0x27 (39) tai toimialueen ohjauskone käyttää rekisteriavaimen DefaultDomainSupportedEncTypes asetusta.
Jos tilille on määritetty msds-SupportedEncryptionTypes , tämä asetus on kunnioitettu, ja se saattaa aiheuttaa sen, että yleistä Kerberos-salaustyyppiä ei ole määritetty RC4: n tai AES: n automaattisen lisäämisen aiemman toiminnan vuoksi, mikä ei enää toimi 8. marraskuuta 2022 tai sen jälkeen julkaistujen päivitysten asentamisen jälkeen.
Lisätietoja yleisen Kerberos-salaustyypin tarkistamisesta on artikkelissa Miten voin varmistaa, että kaikilla laitteillani on yleinen Kerberos-salaustyyppi?
Katso edellisestä kysymyksestä lisätietoja siitä, miksi laitteissasi ei ehkä ole yleistä Kerberos-salaustyyppiä 8. marraskuuta 2022 tai sen jälkeen julkaistujen päivitysten asentamisen jälkeen.
Jos olet jo asentanut päivitykset, jotka on julkaistu 8. marraskuuta 2022 tai sen jälkeen, voit tunnistaa laitteet, joilla ei ole yleistä Kerberos-salaustyyppiä, katsomalla Microsoft-Windows-Kerberos-Key-Distribution-Center -tapahtuman 27 tapahtumalokia, jossa tunnistetaan Kerberos-asiakkaiden ja etäpalvelimien tai -palveluiden väliset eri salaustyypit.
8. marraskuuta 2022 tai sen jälkeen julkaistujen päivitysten asentaminen asiakasohjelmiin tai muihin kuin toimialueen ohjauskoneiden roolipalvelimiin ei saa vaikuttaa Kerberos-todennukseen ympäristössäsi.
Voit lieventää tätä tunnettua ongelmaa avaamalla komentokehoteikkunan järjestelmänvalvojana ja määrittämällä rekisteriavaimen KrbtgtFullPacSignature arvoksi 0 tilapäisesti seuraavan komennon avulla:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Huomautus Kun tämä tunnettu ongelma on ratkaistu, määritä KrbtgtFullPacSignature suuremmaksi asetukseksi sen mukaan, mitä ympäristösi sallii. Suosittelemme, että pakotustila otetaan käyttöön heti, kun ympäristö on valmis.
Seuraavat vaiheetKehitämme parhaillaan ratkaisua ja tarjoamme päivityksen tulevassa versiossa.
Kun olet asentanut 8.11.2022 tai sen jälkeen julkaistut päivitykset toimialueen ohjauskoneisiin, kaikkien laitteiden on tuettava AES-lipun allekirjoitusta tarpeen mukaan, jotta ne voivat täyttää CVE-2022-37967:n edellyttämän suojauksen jäljet.
Seuraavat vaiheet Jos käytät jo uusimpia ohjelmistoja ja laiteohjelmistoja muissa kuin Windows-laitteissa ja olet varmistanut, että Windows-toimialueen ohjauskoneiden ja muiden kuin Windows-laitteiden välillä on käytössä yleinen salaustyyppi, sinun on otettava yhteyttä laitevalmistajaan (OEM) saadaksesi apua tai korvataksesi laitteet yhteensopivilla laitteilla.
TÄRKEÄÄ Microsoft ei suosittele vaihtoehtoista menetelmää, joka sallisi vaatimustenvastaisten laitteiden todennusta, koska tämä saattaa tehdä ympäristöstäsi haavoittuvan.
Windowsin versiot, joita ei tueta, sisältävät Windows XP:n, Windows Server 2003:n, Windows Server 2008 SP2:n ja Windows Server 2008 R2 SP1:n, joita ei voi käyttää päivitetyillä Windows-laitteilla, ellei sinulla ole ESU-käyttöoikeutta. Jos sinulla on ESU-käyttöoikeus, sinun on asennettava päivitykset, jotka on julkaistu 8. marraskuuta 2022 tai sen jälkeen, ja varmistettava, että määrityksesi on yleinen salaustyyppi kaikkien laitteiden välillä.
Seuraavat vaiheet Asenna päivitykset, jos ne ovat saatavilla Windows-versiollesi ja sinulla on soveltuva ESU-käyttöoikeus. Jos päivityksiä ei ole saatavilla, sinun on päivitettävä tuettuun Windows-versioon tai siirrettävä mikä tahansa sovellus tai palvelu yhteensopivaan laitteeseen.
TÄRKEÄÄ Microsoft ei suosittele vaihtoehtoista menetelmää, joka sallisi vaatimustenvastaisten laitteiden todennusta, koska tämä saattaa tehdä ympäristöstäsi haavoittuvan.
Tämä tunnettu ongelma on korjattu 17.11.2022 ja 18.11.2022 julkaistuissa päivityksissä, jotka on tarkoitettu asennettavaksi kaikkiin ympäristösi toimialueen ohjauskoneisiin. Sinun ei tarvitse asentaa mitään päivityksiä tai tehdä muutoksia muihin palvelimiin tai asiakaslaitteisiin ympäristössäsi tämän ongelman ratkaisemiseksi. Jos käytit ongelman ratkaisemiseen vaihtoehtoisia menetelmiä tai lievennyksiä, niitä ei enää tarvita, ja suosittelemme, että poistat ne.
Voit hankkia erillisen paketin näille vuorokautisille päivityksille hakemalla KB-numeroa Microsoft Update -luettelosta. Voit tuoda nämä päivitykset manuaalisesti Windows Server Update Services (WSUS) ja Microsoft Endpoint Configuration Manager. Lisätietoja WSUS-ohjeista on ohjeaiheessa WSUS ja luettelosivusto. Katso kokoonpanon hallintaohjeet artikkelista Päivitysten tuominen Microsoft Update -luettelosta.
Huomautus Seuraavat päivitykset eivät ole saatavilla Windows Update eivätkä ne asennu automaattisesti.
Kumulatiiviset päivitykset:
Huomautus Sinun ei tarvitse ottaa mitään aikaisempaa päivitystä käyttöön ennen näiden kumulatiivisen päivityksen asentamista. Jos olet jo asentanut päivitykset, jotka on julkaistu 8. marraskuuta 2022, sinun ei tarvitse poistaa päivitysten asennusta ennen myöhempien päivitysten asentamista, mukaan lukien yllä luetellut päivitykset.
Erillinen Päivitykset:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (julkaistu 18. marraskuuta 2022)
-
Windows Server 2008 SP2: KB5021657
Huomautukset
-
Jos käytät vain suojauspäivityksiä näissä Windows Server -versioissa, sinun tarvitsee asentaa nämä erilliset päivitykset vain marraskuulle 2022. Vain suojauspäivitykset eivät ole kumulatiivisia, ja sinun on myös asennettava kaikki aiemmat vain suojauspäivitykset, jotta ne ovat täysin ajan tasalla. Kuukausittaiset koontipäivitykset ovat kumulatiivisia, ja ne sisältävät tietoturva- ja kaikki laatupäivitykset.
-
Jos käytät kuukausittaisia koontipäivityksiä, sinun on asennettava sekä edellä luetellut erilliset päivitykset tämän ongelman ratkaisemiseksi että asennettava kuukausittaiset koontiversiot, jotka on julkaistu 8. marraskuuta 2022, jotta saat marraskuun 2022 laatupäivitykset. Jos olet jo asentanut päivitykset, jotka on julkaistu 8. marraskuuta 2022, sinun ei tarvitse poistaa päivitysten asennusta ennen myöhempien päivitysten asentamista, mukaan lukien yllä luetellut päivitykset.
Jos olet vahvistanut ympäristösi määrityksen ja kohtaat edelleen ongelmia muissa kuin Microsoftin Kerberos-käyttöönotoissa, tarvitset päivityksiä tai tukea sovelluksen tai laitteen kehittäjältä tai valmistajalta.
Tämä tunnettu ongelma voidaan lieventää tekemällä jokin seuraavista:
-
Aseta msds-SupportedEncryptionTypes bittitasoon tai aseta se nykyiseen oletusarvoiseen 0x27 nykyisen arvon säilyttämiseksi. Esimerkki:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Määritä msds-SupportEncryptionTypes-arvoksi0 , jotta toimialueen ohjauskoneet voivat käyttää 0x27 oletusarvoa.
Seuraavat vaiheetKehitämme parhaillaan ratkaisua ja tarjoamme päivityksen tulevassa versiossa.
Sanasto
Advanced Encryption Standard (AES) on salauslohko, joka korvaa DES (Data Encryption Standard) -salausstandardin. AES:n avulla voidaan suojata sähköisiä tietoja. AES-algoritmia voidaan käyttää tietojen salaamiseen (salaukseen) ja salauksen purkamiseen . Salaus muuntaa tiedot käsittämättömään muotoon, jota kutsutaan salaustekstiksi. Salauksen purkaminen muuntaa tiedot takaisin alkuperäiseen muotoonsa, jota kutsutaan tekstimuotoon. AES-salauksessa käytetään symmetristä avainta, mikä tarkoittaa, että samaa avainta käytetään salauksessa ja salauksen purkamisessa. Se on myös blokkisana, joka tarkoittaa, että se toimii kiinteäkokoisten teksti- ja salauslohkojen kanssa ja edellyttää, että tekstitekstin ja salakirjoituksen koko on tämän lohkokoon tarkka kerrannainen. AES tunnetaan myös nimellä Rijndaelin symmetrinen salausalgoritmi [FIPS197].
Kerberos on tietokoneverkon todennusprotokolla, joka toimii lippujen perusteella, jotta verkon kautta kommunikoivat solmut voivat todistaa henkilöllisyytensä toisiaan vastaan turvallisesti.
Kerberos-palvelu, joka toteuttaa Kerberos-protokollassa määritetyt todennus- ja lipun myöntämispalvelut. Palvelu suoritetaan tietokoneissa, jotka alueen tai toimialueen järjestelmänvalvoja on valinnut. sitä ei ole kaikissa verkon koneissa. Sen on voitava käyttää palvelemaansa tilitietokantaa. KDC:t on integroitu toimialueen ohjauskoneen rooliin. Se on verkkopalvelu, joka tarjoaa asiakkaille liput palvelujen todentamiseen.
RC4-HMAC (RC4) on muuttuva näppäimen pituinen symmetrinen salausalgoritmi. Lisätietoja on [SCHNEIER]-osiossa 17.1.
Suhteellisen lyhytkestoinen symmetrinen avain (asiakkaan ja palvelimen neuvottelema salausavain, joka perustuu jaettuun salaukseen). Istunnon näppäinten elinkaari on sidottu istuntoon, johon se liittyy. Istuntoavaimen on oltava riittävän vahva kestämään salauksen istunnon elinkaaren ajan.
Erityinen lipputyyppi, jota voidaan käyttää muiden lippujen hankkimiseen. Lipun myöntävä lippu (TGT) saadaan todennuspalvelun (AS) vaihdon ensimmäisen todennuksen jälkeen; sen jälkeen käyttäjien ei tarvitse esittää tunnistetietojaan, mutta he voivat käyttää TGT:ta seuraavien lippujen hankkimiseen.
