Sažetak
11. siječnja 2022., Windows ažuriranja i Windows ažuriranja dodaju zaštitu za CVE-2022-21913.
Kada instalirate ažuriranja od 11. siječnja 2022., Windows ažuriranja ili novija ažuriranja sustava Windows, šifriranje standardnog naprednog šifriranja (AES) postavit će se kao preferirani način šifriranja na klijentima sustava Windows kada koristite naslijeđeni protokol Local Security Authority (Domain Policy) (MS-LSAD) za operacije lozinke pouzdanih domena koje se šalju putem mreže. To vrijedi samo ako poslužitelj podržava AES šifriranje. Ako poslužitelj ne podržava AES šifriranje, sustav će omogućiti vraćanje naslijeđenog šifriranja rc4.
Promjene u protokolu CVE-2022-21913 specifične su za protokol MS-LSAD. Nezavisni su od drugih protokola. MS-LSAD koristi poslužiteljski blok poruke (SMB) putem poziva udaljene procedure
(RPC) i imenovane cijevi. Iako SMB podržava i šifriranje, po zadanom nije omogućen. Promjene u programu CVE-2022-21913 po zadanom su omogućene i pružaju dodatnu sigurnost na sloju LSAD. Dodatne promjene konfiguracije nisu potrebne nakon instalacije zaštite za AŽURIRANJA ZA CVE-2022-21913 obuhvaćene ažuriranjima sustava Windows 11. siječnja 2022., Windows i novijim ažuriranjima sustava Windows na svim podržanim verzijama sustava Windows. Nepodržane verzije Windows bi se trebale ukinuti ili nadograditi na podržanu verziju.
Napomena CVE-2022-21913 mijenja samo način šifriranja lozinki za pouzdanost u tranzitu kada koristite određene API-je protokola MS-LSAD i ne mijenjate način na koji se lozinke pohranjuju u ostalo. Dodatne informacije o šifriranju lozinki na odmoru u servisu Active Directory i lokalno u sam bazi podataka (registru) potražite u članku Tehnički pregled lozinki.
Dodatne informacije
Promjene koje su izvršene 11. siječnja 2022., ažuriranja
-
Uzorak objekta pravilnika
Ažuriranja mijenjaju uzorak objekta pravilnika protokola dodavanjem nove metode Open Policy koja klijentu i poslužitelju omogućuje zajedničko korištenje informacija o podršci za AES.Stara metoda pomoću aplikacije RC4
Novi način korištenja AES-a
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Potpuni popis opnuma protokola MS-LSAR pogledajte u članku [MS-LSAD]: Događaji obrade poruka i pravila redoslijeda.
-
Pouzdani uzorak objekta domene
Ažuriranjem se mijenja obrazac za stvaranje objekta pouzdane domene dodavanjem novog načina stvaranja pouzdanosti pomoću AES-a za šifriranje podataka za provjeru autentičnosti.
LsaCreateTrustedDomainEx API sada će preferirati novi način ako se klijent i poslužitelj ažuriraju i u suprotnom se vrate na stariju metodu.
Stara metoda pomoću aplikacije RC4
Novi način korištenja AES-a
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Ažuriranja mijenjaju uzorak skupa pouzdanih objekata domene protokola dodavanjem dvije nove klase pouzdanih informacija u metode LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Podatke o pouzdanom objektu domene možete postaviti na sljedeći način.
Stara metoda pomoću aplikacije RC4
Novi način korištenja AES-a
LsarSetInformationTrustedDomain (Opnum 27) zajedno s TrustedDomainAuthInformationInternal ili TrustedDomainFullInformationInternal (ima šifriranu lozinku pouzdanosti koja koristi RC4)
LsarSetInformationTrustedDomain (Opnum 27) zajedno s TrustedDomainAuthInformationInternalAes ili TrustedDomainFullInformationAes (ima šifriranu lozinku za pouzdanost koja koristi AES)
LsarSetTrustedDomainInfoByName (Opnum 49) zajedno s TrustedDomainAuthInformationInternal ili TrustedDomainFullInformationInternal (ima šifriranu lozinku pouzdanosti koja koristi RC4 i sve druge atribute)
LsarSetTrustedDomainInfoByName (Opnum 49) zajedno s TrustedDomainAuthInformationInternalAes ili TrustedDomainFullInformationInternalAes (ima šifriranu lozinku pouzdanosti koja koristi AES i sve druge atribute)
Kako funkcionira novo ponašanje
Postojeća metoda LsarOpenPolicy2 obično se koristi za otvaranje kontekstne ručice na RPC poslužitelju. To je prva funkcija koja se mora nazvati da biste se javili bazi podataka Remote Protocol Local Security Authority (Domain Policy) Remote Protocol. Kada instalirate ta ažuriranja, metoda LsarOpenPolicy2 zamjenjuje se novom metodom LsarOpenPolicy3.
Ažurirani klijent koji poziva API lsaOpenPolicy sada će najprije nazvati metodu LsarOpenPolicy3. Ako poslužitelj nije ažuriran i ne implementira metodu LsarOpenPolicy3, klijent se vraća na metodu LsarOpenPolicy2 i koristi prethodne metode koje koriste ŠIFRIRANJE RC4.
Ažurirani poslužitelj vratit će novi bit u odzivu metode LsarOpenPolicy3, kao što je definirano u LSAPR_REVISION_INFO_V1. Dodatne informacije potražite u odjeljcima "Korištenje AES šifre" i "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" u MS-LSAD-u.
Ako poslužitelj podržava AES, klijent će koristiti nove metode i nove razrede informacija za naknadne operacije pouzdane domene "create" i "set". Ako poslužitelj ne vrati tu zastavicu ili se klijent ne ažurira, klijent će se vratiti na prethodne metode koje koriste RC4 šifriranje.
Zapisivanje događaja
Ažuriranja od 11. siječnja 2022. dodaju novi događaj u zapisnik sigurnosnih događaja radi prepoznavanja uređaja koji se ne ažuriraju i poboljšanja sigurnosti.
Vrijednost |
Značenje |
---|---|
Izvor događaja |
Microsoft-Windows-Security |
ID događaja |
6425 |
Razina |
Informacije |
Tekst poruke događaja |
Mrežni klijent koristio je naslijeđenu metodu RPC za izmjenu podataka za provjeru autentičnosti na objektu pouzdane domene. Podaci za provjeru autentičnosti šifrirani su naslijeđenim algoritmom šifriranja. Razmislite o nadogradnji klijentskog operacijskog sustava ili aplikacije da biste koristili najnoviju i sigurniju verziju ove metode. Pouzdana domena:
Izmijenio:
Adresa klijentske mreže: Dodatne informacije potražite u https://go.microsoft.com/fwlink/?linkid=2161080 . |
Najčešća pitanja (najčešća pitanja)
P1: Koji scenariji pokreću unazaditi s AES-a na RC4?
A1: Ako poslužitelj ili klijent ne podržavaju AES, pojavljuje se unazad.
P2: Kako utvrditi je li u sklopu enkripcije RC4 ili AES šifriranja pregovaralo?
A2: Ažurirani poslužitelji zapisit će događaj 6425 kada se koriste naslijeđene metode koje koriste RC4.
P3: Je li na poslužitelju potrebno AES šifriranje i hoće li se Windows programsko nametnuti pomoću AES-a?
A3: Trenutno nema dostupnog načina izvršenja. No u budućnosti može biti, iako takva promjena nije zakazana.
P4: Podržavaju li klijenti drugih proizvođača zaštitu za CVE-2022-21913 radi pregovora o AES-u kada poslužitelj podržava? Trebam li se obratiti Microsoftovoj podršci ili timu za podršku drugih proizvođača da bih odgovorio na to pitanje?
A4: Ako uređaj ili aplikacija drugih proizvođača ne koristi protokol MS-LSAD, to nije važno. Dobavljači drugih proizvođača koji implementiraju protokol MS-LSAD mogu implementirati ovaj protokol. Dodatne informacije potražite u dobavljaču treće strane.
P5: Moraju li se uneti dodatne promjene konfiguracije?
A5: Nisu potrebne dodatne promjene konfiguracije.
P6: Što koristi ovaj protokol?
A6: Protokol MS-LSAD koriste mnoge Windows, uključujući Active Directory i alate kao što su konzola Active Directory Domains i Trusts. Aplikacije mogu koristiti ovaj protokol i putem API-ja biblioteka advapi32, kao što su LsaOpenPolicy ili LsaCreateTrustedDomainEx.