Sažetak

CVE-2021-42287 rješava slabe točke sigurnosne zaobilaženje koje utječu na certifikat atributa Kerberos Privilege (PAC) i potencijalnim napadačima omogućuje oponašanje kontrolera domena. Da biste iskoristili tu slabu točke, ugroženi račun domene može uzrokovati da KDC (Key Distribution Center) stvori servisni listić s višom razinom ovlasti od razine ugroženog računa. Time se KDC-u onemogućite da prepozna koji je račun za uslugu s višim ovlastima.

Poboljšani postupak provjere autentičnosti u aplikaciji CVE-2021-42287 dodaje nove informacije o izvornom podnositelju zahtjeva u PAC-ove sustava Kerberos Ticket-Granting Tickets (TGT). Kada se kasnije za račun generira usluga Kerberos, novi će postupak provjere autentičnosti provjeriti je li račun koji je zatražio TGT isti račun na koji se poziva servisna karta.

Nakon instalacije Windows ažuriranja od 9. studenog 2021. ili novije verzije, PAC-ovi će se dodati u TGT svih računa domene, čak i onima koji su prethodno odlučili odbiti PAC-ove.

Poduzmi akciju

Da biste zaštitili svoje okruženje i izbjegli neutemelje, učinite sljedeće:

  1. Ažurirajte sve uređaje na kojima se hostira uloga kontrolera domene servisa Active Directory tako da instalirate ažuriranje 9. studenog 2021.

  2. Nakon ažuriranja 9. studenog 2021. instalirano je na sve kontrolere domena servisa Active Directory najmanje 7 dana, preporučujemo da omogućite način rada za provedbu na svim kontrolorima domena servisa Active Directory.

  3. Počevši od ažuriranja faze provođenja 12. srpnja 2022., način provođenja bit će omogućen na svim kontrolerima Windows domena i bit će potreban.

Tempiranje Windows ažuriranja

Ta Windows ažuriranja bit će objavljena u tri faze:

  1. Početna implementacija – uvod u ažuriranje, kao i ključ registra PacRequestorEnforcement

  2. Druga implementacija – uklanjanje PacRequestorEnforcement vrijednosti 0 (mogućnost onemogućivanja ključa registra)

  3. Faza provođenja – omogućen je način izvršenja. Uklanjanje ključa registra PacRequestorEnforcement

9. studenog 2021.: početna faza implementacije

Početna faza implementacije započinje ažuriranjem Windows objavljenim 9. studenog 2021. Ovo izdanje:

  • Dodaje zaštitu od CVE-2021-42287

  • Dodaje podršku za vrijednost registra PacRequestorEnforcement, koja omogućuje rani prijelaz na fazu provođenja

Ublažiti se sastoji od instalacije Windows na svim uređajima na kojima se hostira uloga kontrolera domene i kontroleri domena samo za čitanje (RODC-ovi).

12. travnja 2022.: druga faza implementacije

Druga faza implementacije započinje ažuriranjem Windows objavljenim 12. travnja 2022. Ova faza uklanja postavku PacRequestorEnforcement od 0. Postavljanje PacRequestorEnforcement na 0 nakon instalacije tog ažuriranja ima isti učinak kao i postavljanje pacRequestorEnforcement na 1. Kontroleri domene (DC-ovi) bit će u načinu rada za implementaciju.

NapomenaTa faza nije potrebna ako PacRequestorEnforcement nikad nije postavljen na 0 u vašem okruženju. Ta faza pridonosi osiguravanju da se korisnici koji su postavili PacRequestorEnforcement pomaknu na 0 prije postavljanja 1 prije faze provođenja.

Napomena Ovo ažuriranje pretpostavlja da su svi kontroleri domena ažurirani ažuriranjem 9. studenog 2021. Windows novijim.

12. srpnja 2022.: faza provedbe

Izdanje 12. srpnja 2022. sve kontrolere domena servisa Active Directory prelamat će se u fazu provođenja. Faza provođenja uklonit će i ključ registra PacRequestorEnforcement u potpunosti. Zbog toga kontroleri Windows domene koji su instalirali ažuriranje 12. srpnja 2022. više neće biti kompatibilni sa:

  • Kontroleri domena koji nisu instalirali ažuriranja za 9. studenog 2021. ili novija.

  • Kontroleri domena koji su instalirali ažuriranja 9. studenog 2021. ili novija, ali još nisu instalirali ažuriranje za 12. travnja 2022. I koji imaju vrijednost registra PacRequestorEnforcement od 0.

No Windows kontroleri domena koji su instalirali ažuriranje 12. srpnja 2022. ostat će kompatibilni sa:

  • Windows kontroleri domena koji su instalirali ažuriranja od 12. srpnja 2022. ili novije verzije

  • Kontroleri domene prozora koji su instalirali ažuriranja9.studenog 2021. ili novije verzije i imaju vrijednost PacRequestorEnforcement ili 1 ili 2

Informacije o ključu registra

Nakon instalacije zaštite od CVE-2021-42287 u ažuriranjima sustava Windows objavljenima između 9. studenog 2021. i 14. lipnja 2022., bit će dostupan sljedeći ključ registra:

Potključ registra

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Vrijednost

PacRequestorEnforcement

Vrsta podataka

REG_DWORD

Podaci

1: dodajte novi PAC korisnicima koji su provjerili autentičnost pomoću kontrolera domene servisa Active Directory s instaliranim ažuriranjima od 9. studenog 2021. ili novijim verzijama. Prilikom provjere autentičnosti, ako korisnik ima novi PAC, provjerava se valjanost PAC-a. Ako korisnik nema novi PAC, neće se poduzeti dodatne radnje. Kontroleri domena servisa Active Directory u ovom načinu rada nalaze se u fazi implementacije.

2: Dodajte novi PAC korisnicima koji su provjerili autentičnost pomoću kontrolera domene servisa Active Directory koji ima instalirana ažuriranja 9. studenog 2021. ili novija. Prilikom provjere autentičnosti, ako korisnik ima novi PAC, provjerava se valjanost PAC-a. Ako korisnik nema novi PAC, provjera autentičnosti je odbijena. Kontroleri domena servisa Active Directory u ovom načinu rada nalaze se u fazi provođenja.

0: Onemogućuje ključ registra. Ne preporučuje se. Kontroleri domena servisa Active Directory u ovom načinu rada nalaze se u fazi Onemogućeno. Ta vrijednost neće postojati nakon ažuriranja 12. travnja 2022. ili novije verzije.

Važno Postavka 0 nije kompatibilna s postavkom 2. Povremeni kvarovi mogu se pojaviti ako se obje postavke koriste unutar šume. Ako se koristi postavka 0, preporučujemo da postavku 0 (Onemogući) postavite na 1 (Implementacija) najmanje tjedan dana prije prelaska na postavku 2 (način provođenja).

Zadano

1 (kada ključ registra nije postavljen)

Je li potrebno ponovno pokretanje?

Ne

Događaji nadzora

Ažuriranjem 9. studenog 2021. Windows će se dodati i novi zapisnici događaja.

PAC bez atributa

KDC nailazi na TGT bez međuspremnika atributa PAC. Vjerojatno drugi KDC u zapisnicima ne sadrži ažuriranje ili je u onemogućenom načinu rada.

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

35

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na kartu koja dodjeljuje ulaznicu (TGT) iz drugog KDC -a ("<KDC Name>") koja nije sadržavala polje atributa PAC. 

Ulaznica bez PAC-a

KDC nailazi na TGT ili drugu dokaznu kartu bez PAC-a. Time se KDC-u onemogucuje da proveste sigurnosne provjere na karti.

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje tijekom faze implementacije

Pogreška tijekom faze provođenja

Izvor događaja

Kdcsvc

ID događaja

36

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na kartu koja nije sadržavala PAC prilikom obrade zahtjeva za drugu kartu. Time se onemogućilo pokretanje sigurnosnih provjera i moglo je otvoriti sigurnosne slabe točke. 

Klijent: <Domain Name>\<User Name>

Ticket for: <Service Name>

Ulaznica bez podnositelja zahtjeva

KDC nailazi na TGT ili drugu dokaznu kartu bez međuspremnika PAC Requestor. KDC koji je konstruirao PAC vjerojatno ne sadrži ažuriranje ili je u onemogućenom načinu rada.

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje tijekom faze implementacije

Pogreška tijekom faze provođenja

Izvor događaja

Kdcsvc

ID događaja

37

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na kartu koja nije sadržavala informacije o računu koji je zatražio kartu tijekom obrade zahtjeva za drugu kartu. Time se onemogućilo pokretanje sigurnosnih provjera i moglo je otvoriti sigurnosne slabe točke. 

Ticket PAC constructed by: <KDC Name>

 Klijent: <Domain Name>\<Client Name>

Ticket for: <Service Name>

Neusklađenost podnositelja zahtjeva

KDC nailazi na TGT ili drugu dokaznu kartu, a račun koji je zatražio TGT ili dokaznu kartu ne odgovara računu za koji je stvorena servisna karta.

Zapisnik događaja

Sustav

Vrsta događaja

Pogreška

Izvor događaja

Kdcsvc

ID događaja

38

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na kartu koja sadrži nedosljedne informacije o računu koji je zatražio ulaznicu. To može značiti da je račun preimenovana nakon izdavanja karte, što je možda dio pokušaja iskorištavanja. 

Ticket PAC constructed by: <Kdc Name>

Klijent: <Domain Name>\<User Name>

Ticket for: <Service Name>

Zahtjev za SID računa iz servisa Active Directory: <SID>

Zahtjev za SID računa od ulaznice: <SID>

Najčešća pitanja

P1 Što se događa ako imam mješavinu kontrolora domena servisa Active Directory koji su ažurirani i nisu ažurirani?

A1. Kombinacija kontrolera domena koji se ažuriraju i ne ažuriraju, ali imaju zadanu vrijednost ključa registra PacRequestorEnforcement od 1 kompatibilna je jedna s drugom. No Microsoft preporučuje da kontroleri domena nisu ažurirani i ne ažuriraju se u okruženju.

Q2 Što se događa ako imam mješavinu kontrolora domena servisa Active Directory koji imaju različite vrijednosti PacRequestorEnforcement?

A2. Mješavina kontrolera domena s vrijednostima PacRequestorEnforcement od 0 i 1 kompatibilne su jedna s drugom. Mješavina kontrolera domena koji imaju pacRequestorEnforcement vrijednosti 1 i 2 kompatibilne su jedna s drugom. Mješavina kontrolera domena s vrijednostima PacRequestorEnforcement od 0 i 2 nisu kompatibilni jedan s drugim i mogu uzrokovati povremene pogreške. Dodatne informacije potražite u odjeljku Informacije o ključu registra.

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Koliko ste zadovoljni kvalitetom prijevoda?
Što je utjecalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×