Yhteenveto
Windowsin suojauspäivitykset, jotka julkaistiin 9. huhtikuuta 2024 tai sen jälkeen, nostavat käyttöoikeuksien haavoittuvuuksia Kerberos PAC Validation Protocol -protokollan avulla. Pac (Privilege Attribute Certificate) on Kerberos-palvelulippujen laajennus. Se sisältää tietoja todentavasta käyttäjästä ja hänen käyttöoikeuksistaan. Tämä päivitys korjaa haavoittuvuuden, jossa prosessin käyttäjä voi väärentää allekirjoituksen ohittaakseen PAC-allekirjoituksen kelpoisuustarkistuksen tarkistukset, jotka on lisätty KB5020805: CVE-2022-37967:een liittyvien Kerberos-protokollamuutosten hallinta.
Lisätietoja näistä haavoittuvuuksista on ohjeaiheissa CVE-2024-26248 ja CVE-2024-29056.
Toimi
TÄRKEÄÄVaihe 1, jossa asennetaan 9. huhtikuuta 2024 tai sen jälkeen julkaistu päivitys, EI korjaa CVE-2024-26248 :n ja CVE-2024-29056 :n suojausongelmia oletusarvoisesti. Jotta voit lieventää kaikkien laitteiden suojausongelmaa kokonaan, sinun on siirryttävä pakotettuun tilaan (kuvattu vaiheessa 3), kun ympäristösi on päivitetty kokonaan.
Ympäristön suojaamiseksi ja käyttökatkojen estämiseksi suosittelemme seuraavia ohjeita:
-
PÄIVITYS: Windowsin toimialueen ohjauskoneet ja Windows-asiakasohjelmat on päivitettävä Windowsin suojauspäivityksellä, joka on julkaistu 9. huhtikuuta 2024 tai sen jälkeen.
-
SEURATA: Valvontatapahtumat näkyvät yhteensopivuustilassa sellaisten laitteiden tunnistamiseksi, joita ei ole päivitetty.
-
OTA KÄYTTÖÖN: Kun pakotustila on otettu täysin käyttöön ympäristössäsi, CVE-2024-26248 : ja CVE-2024-29056 kuvatut haavoittuvuudet lievennetään.
Tausta
Kun Windowsin työasema suorittaa PAC-kelpoisuustarkistuksen saapuvassa Kerberos-todennusvirrassa, se suorittaa uuden pyynnön (verkkolipun kirjautuminen) palvelupyynnön vahvistamiseksi. Pyyntö välitetään aluksi Workstations-toimialueen toimialueen ohjauskoneelle (DC) Netlogonin kautta.
Jos palvelutili ja tietokonetili kuuluvat eri toimialueisiin, pyyntö siirretään tarvittavien luottamushenkilöiden välillä Netlogonin kautta, kunnes se saavuttaa palvelut-toimialueen; muussa tapauksessa tietokonetilien toimialueen dc suorittaa kelpoisuustarkistuksen. Dc soittaa sitten Key Distribution Centeriin (KDC) vahvistaakseen palvelupyynnön PAC-allekirjoitukset ja lähettääkseen käyttäjä- ja laitetiedot takaisin työasemaan.
Jos pyyntö ja vastaus lähetetään trustin kautta (jos palvelutili ja työasematili kuuluvat eri toimialueisiin), luottamussuhteen jokainen dc suodattaa siihen liittyvät valtuutustiedot.
Muutosten aikajana
Päivitykset julkaistaan seuraavasti. Huomaa, että tätä julkaisuaikataulua voidaan tarvittaessa muuttaa.
Ensimmäinen käyttöönottovaihe alkaa 9. huhtikuuta 2024 julkaistuilla päivityksillä. Tämä päivitys lisää uuden toiminnan, joka estää CVE-2024-26248:ssa ja CVE-2024-29056 :ssa kuvattujen käyttöoikeushaavoittuvuuksien laajentamisen, mutta ei pakota sitä, ellei sekä Windowsin toimialueen ohjauskoneita että Windows-asiakkaita päivitetä ympäristössä.
Jotta voit ottaa uuden toiminnan käyttöön ja lieventää tietoturva-aukkoja, varmista, että koko Windows-ympäristösi (mukaan lukien sekä toimialueen ohjauskoneet että asiakkaat) päivitetään. Valvontatapahtumat kirjataan, jotta tunnistat laitteet, joita ei ole päivitetty.
Päivitykset julkaistu 15. lokakuuta 2024 tai sen jälkeen, siirtää kaikki ympäristön Windows-toimialueen ohjauskoneet ja asiakkaat pakotettuun tilaan muuttamalla rekisterin aliavaimen asetukset asetukseksi PacSignatureValidationLevel=3 ja CrossDomainFilteringLevel=4, mikä pakottaa suojatun toiminnan oletusarvoisesti.
Järjestelmänvalvoja voi ohittaa Oletusarvoisesti pakotetut asetukset, jos haluat palata yhteensopivuustilaan .
8. huhtikuuta 2025 tai sen jälkeen julkaistut Windowsin suojauspäivitykset poistavat rekisterin aliavainten PacSignatureValidationLevel ja CrossDomainFilteringLevel tuen ja pakottavat uuden suojatun toiminnan. Yhteensopivuustilaa ei tueta tämän päivityksen asentamisen jälkeen.
Mahdolliset ongelmat ja lievennykset
Voi ilmetä mahdollisia ongelmia, kuten PAC-kelpoisuuden tarkistaminen ja puuryhmien välinen suodatusvirhe. 9. huhtikuuta 2024 julkaistu tietoturvapäivitys sisältää varalogiikan ja rekisteriasetukset, joiden avulla voit lieventää näitä ongelmia
Rekisteriasetukset
Tämä suojauspäivitys tarjotaan Windows-laitteille (mukaan lukien toimialueen ohjauskoneet). Seuraavat rekisteriavaimet, jotka ohjaavat toimintaa, on otettava käyttöön vain Kerberos-palvelimessa, joka hyväksyy saapuvan Kerberos-todennuksen ja suorittaa PAC-kelpoisuustarkistuksen.
|
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Arvo |
PacSignatureValidationLevel |
|
|
Tietotyyppi |
REG_DWORD |
|
|
Tiedot |
2 |
Oletus (yhteensopivuus korjaamattoman ympäristön kanssa) |
|
3 |
Valvoa |
|
|
Uudelleenkäynnistys Pakollinen? |
Ei |
|
|
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Arvo |
CrossDomainFilteringLevel |
|
|
Tietotyyppi |
REG_DWORD |
|
|
Tiedot |
2 |
Oletus (yhteensopivuus korjaamattoman ympäristön kanssa) |
|
4 |
Valvoa |
|
|
Uudelleenkäynnistys Pakollinen? |
Ei |
|
Tämä rekisteriavain voidaan ottaa käyttöön sekä Windows-palvelimissa, jotka hyväksyvät saapuvan Kerberos-todennuksen, että missä tahansa Windowsin toimialueen ohjauskoneessa, joka vahvistaa uuden verkkolipun kirjautumisen matkan varrella.
|
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Arvo |
AuditKerberosTicketLogonEvents |
|
|
Tietotyyppi |
REG_DWORD |
|
|
Tiedot |
1 |
Oletus – kirjaa kriittiset tapahtumat |
|
2 |
Kirjaa kaikki netlogon-tapahtumat |
|
|
0 |
Älä kirjaa Netlogon-tapahtumia |
|
|
Uudelleenkäynnistys Pakollinen? |
Ei |
|
Tapahtumalokien
Kerberos Serverissä luodaan seuraavat Kerberos-valvontatapahtumat, jotka hyväksyvät saapuvan Kerberos-todennuksen. Tämä Kerberos-palvelin tekee PAC-kelpoisuustarkistuksen, joka käyttää uutta verkkolippujen kirjautumisvuota.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Tiedottava |
|
Tapahtumalähde |
Security-Kerberos |
|
Tapahtumatunnus |
21 |
|
Tapahtuman teksti |
Kerberosin verkkolippujen kirjautumisen aikana toimialueen <toimialueen> Tilin <-tilin palvelupyyntö> suorittanut seuraavat toimet DC <toimialueen ohjauskoneen>. Lisätietoja on https://go.microsoft.com/fwlink/?linkid=2262558. |
Tämä tapahtuma näytetään, kun toimialueen ohjauskone teki ei-kohtalokkaan toiminnon verkkolipun kirjautumisen aikana. Seuraavat toiminnot kirjataan lokiin:
-
Käyttäjän SSID-tunnukset suodatettiin.
-
Laitteen SSID-tunnukset suodatettiin.
-
Yhdistelmäidentiteetti poistettiin, koska SID-suodatus ei sallinut laitteen tunnistetietoja.
-
Yhdistelmätunnistetiedot poistettiin, koska SID-suodatus ei salli laitteen toimialuenimeä.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Virhe |
|
Tapahtumalähde |
Security-Kerberos |
|
Tapahtumatunnus |
22 |
|
Tapahtuman teksti |
Kerberosin verkkolippujen kirjautumisen aikana DC <DC> hylkäsi Domain <Domain> :n <Account> -palvelulipun alla olevien syiden vuoksi. Lisätietoja on https://go.microsoft.com/fwlink/?linkid=2262558. |
Tämä tapahtuma näytetään, kun toimialueen ohjauskone hylkäsi verkkolipun kirjautumispyynnön tapahtuman syistä.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Varoitus tai virhe |
|
Tapahtumalähde |
Security-Kerberos |
|
Tapahtumatunnus |
23 |
|
Tapahtuman teksti |
Kerberosin verkkolippujen kirjautumisen aikana toimialueen <domain_name> <account_name> palvelulippua ei voitu lähettää toimialueen ohjauskoneelle pyynnön huoltoa varten. Lisätietoja on https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Tämä tapahtuma näytetään varoituksena, jos PacSignatureValidationLevel AND CrossDomainFilteringLevel -asetuksena ei ole Pakota tai sitä tiukempi. Kun tapahtuma kirjataan lokiin varoituksena, se ilmaisee, että verkkolippujen kirjautumisvirrat ottivat yhteyttä toimialueen ohjauskoneeseen tai vastaavaan laitteeseen, joka ei ymmärtänyt uutta mekanismia. Todennuksen sallittiin varautumista aiempaan toimintaan.
-
Tämä tapahtuma näkyy virheenä, jos PacSignatureValidationLevel OR CrossDomainFilteringLevel -asetuksena on Pakota tai sitä tiukempi. Tämä virhe tarkoittaa, että verkkolipun kirjautumisen kulku otti yhteyttä toimialueen ohjauskoneeseen tai vastaavaan laitteeseen, joka ei ymmärtänyt uutta mekanismia. Todennus hylättiin, eikä se voinut palata aiempaan toimintaan.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Virhe |
|
Tapahtumalähde |
Netlogon |
|
Tapahtumatunnus |
5842 |
|
Tapahtuman teksti |
Netlogon-palvelu kohtasi odottamattoman virheen käsitellessään Kerberos-verkkolipun kirjautumispyyntöä. Lisätietoja on https://go.microsoft.com/fwlink/?linkid=2261497. Palvelupyyntötili: <-tilin> Palvelupyynnön toimialue: <domain> Workstation Name: <Machine Name> Tila: <virhekoodin> |
Tämä tapahtuma luodaan aina, kun Netlogon kohtasi odottamattoman virheen verkkolipun kirjautumispyynnön aikana. Tämä tapahtuma kirjataan lokiin, kun AuditKerberosTicketLogonEvents-asetuksena on (1) tai uudempi.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumalähde |
Netlogon |
|
Tapahtumatunnus |
5843 |
|
Tapahtuman teksti |
Netlogon-palvelu ei voinut lähettää Kerberos-verkkolipun kirjautumispyyntöä toimialueen ohjauskoneeseen <DC->. Lisätietoja on https://go.microsoft.com/fwlink/?linkid=2261497. Palvelupyyntötili: <-tilin> Palvelupyynnön toimialue: <domain> Workstation Name: <Machine Name> |
Tämä tapahtuma luodaan aina, kun Netlogon ei voinut suorittaa verkkolippukirjautumista loppuun, koska toimialueen ohjauskone ei ymmärtänyt muutoksia. Netlogon-protokollan rajoitusten vuoksi Netlogon-asiakas ei pysty määrittämään, onko netlogon-asiakkaan suoraan puhumassa toimialueen ohjauskoneessa se, joka ei ymmärrä muutoksia, vai onko se edelleenlähetysketjun toimialueen ohjauskone, joka ei ymmärrä muutoksia.
-
Jos palvelupyynnön toimialue on sama kuin konetilin toimialue, on todennäköistä, että tapahtumalokin toimialueen ohjauskone ei ymmärrä Verkkolippu-kirjautumisen kulkua.
-
Jos palvelupyynnön toimialue eroaa konetilin toimialueesta, yksi toimialueen ohjauskone konetilin toimialueesta palvelutilin toimialueeseen ei ymmärtänyt verkkolipun kirjautumisen kulkua
Tämä tapahtuma on oletusarvoisesti poissa käytöstä. Microsoft suosittelee, että käyttäjät päivittävät ensin koko kalustonsa ennen tapahtuman käynnistämistä.
Tämä tapahtuma kirjataan lokiin, kun AuditKerberosTicketLogonEvents-asetuksena on (2).
Usein kysytyt kysymykset (usein kysytyt kysymykset)
Toimialueen ohjauskone, jota ei ole päivitetty, ei tunnista tätä uutta pyyntörakennetta. Tämä aiheuttaa suojaustarkistuksen epäonnistumisen. Yhteensopivuustilassa käytetään vanhaa pyyntörakennetta. Tämä skenaario on edelleen altis CVE-2024-26248 : lle ja CVE-2024-29056: lle.
Kyllä. Tämä johtuu siitä, että uusi verkkolippujen kirjautumisvirta on ehkä reititettävä toimialueiden välillä, jotta se pääsee palvelutilin toimialueeseen.
PAC-kelpoisuustarkistus voidaan ohittaa tietyissä tilanteissa, kuten seuraavissa tilanteissa, mutta ei rajoittuen:
-
Jos palvelulla on TCB-oikeus. Yleensä JÄRJESTELMÄ-tilin kontekstissa suoritettavilla palveluilla (kuten SMB-tiedostoja tai LDAP-palvelimilla) on tämä oikeus.
-
Jos palvelu suoritetaan Tehtävien ajoituksesta.
Muussa tapauksessa PAC-kelpoisuustarkistus suoritetaan kaikille saapuville Kerberos-todennusvirroille.
Näihin ansioluetteloihin liittyy paikallinen käyttöoikeuksien korotus, jossa Windows Workstationilla toimiva haitallinen tai vaarantunut palvelutili yrittää nostaa oikeuksiaan saadakseen paikallisen hallinnon oikeudet. Tämä tarkoittaa, että tämä vaikuttaa vain Siihen, että Windowsin työasema hyväksyy saapuvan Kerberos-todennuksen.
