Zapisnik promjena
|
Promjena 1: 5. travnja 2023.: U odjeljku "Tempiranje ažuriranja za adresu CVE-2022-38023" premještena je faza "Provedba prema zadanim postavkama" ključa registra iz 11. travnja 2023. na 13. lipnja 2023. Promjena 2.: 20. travnja 2023.: Uklonjena je netočna referenca na "Domain Controller: Allow vulnerable Netlogon secure channel connections" group policy object (GPO) in the "Registry Key settings" (Postavke ključa registra). Promjena 3.: 19. lipnja 2023.:
|
U ovom članku
Sažetak
8. studenog 2022. i novija ažuriranja sustava Windows rješavaju nedostatke u Netlogon protokolu kada se koristi potpisivanje RPC-a umjesto RPC brtvljenje. Dodatne informacije možete pronaći u CVE-2022-38023 .
Sučelje poziva udaljene procedure (RPC) servisa Netlogon Remote Protocol prvenstveno se koristi za održavanje odnosa između uređaja i njegove domene te odnosa između kontrolora domena (DC- ova) i domena.
Ovo ažuriranje po zadanom štiti uređaje sa sustavom Windows od CVE-2022-38023 . Za klijente drugih proizvođača i domenski kontroler treće strane ažuriranje je po zadanom u načinu kompatibilnosti i omogućuje ranjive veze s takvih klijenata. Korake za prelazak na način provođenja potražite u odjeljku Postavke ključa registra.
Da biste zaštitili svoje okruženje, instalirajte ažuriranje sustava Windows od 8. studenog 2022. ili novije ažuriranje sustava Windows na sve uređaje, uključujući domenski kontroler.
Važno Od lipnja 2023. način provođenja omogućit će se na svim domenski kontrolerima sustava Windows i blokirat će ranjive veze s uređaja koji nisu usklađeni. U to vrijeme nećete moći onemogućiti ažuriranje, ali se možete vratiti na postavku načina kompatibilnosti. Način kompatibilnosti uklonit će se u srpnju 2023., kao što je navedeno u odjeljku Tempiranje ažuriranja za rješavanje netlogon ranjivosti CVE-2022-38023 .
Tempiranje ažuriranja adrese CVE-2022-38023
Ažuriranja će biti objavljena u nekoliko faza: početna faza za ažuriranja objavljena 8. studenog 2022. ili nakon te faze provedbe za ažuriranja objavljena 11. srpnja 2023. ili kasnije.
Početna faza implementacije započinje ažuriranjima objavljenima 8. studenog 2022., a nastavlja se s kasnijim ažuriranjima sustava Windows do faze provođenja. Ažuriranja sustava Windows 8. studenog 2022. ili nakon njih rješavaju ranjivost sigurnosnog zaobilaženje CVE-2022-38023 nametanjem RPC brtvljenje na svim klijentima sustava Windows.
Uređaji će po zadanom biti postavljeni u načinu kompatibilnosti. Domenski kontroleri sustava Windows zahtijevaju da klijenti sa servisa Netlogon koriste RPC pečat ako koriste Windows ili ako djeluju kao domenski kontroleri ili kao pouzdani računi.
Ažuriranja sustava Windows objavljena 11. travnja 2023. ili kasnije uklonit će mogućnost onemogućivanja RPC brtvljenje postavljanjem vrijednosti 0 na potključ registra RequireSeal .
Potključ registra RequireSeal premjestit će se u način nametnut ako administratori izričito ne konfiguriraju način kompatibilnosti. Ranjive veze svih klijenata, uključujući treće strane, bit će odbijena provjera autentičnosti. Pročitajte članak Promjena 1.
Ažuriranja sustava Windows objavljena 11. srpnja 2023. uklonit će mogućnost postavljanja vrijednosti 1 na potključ registra RequireSeal . To omogućuje fazu provedbe cve-2022-38023.
Postavke ključa registra
Nakon instalacije ažuriranja sustava Windows od 8. studenog 2022. ili nakon tog datuma, za protokol Netlogon na domenski kontrolerima sustava Windows dostupan je sljedeći potključ registra.
VAŽNO Ovo ažuriranje, kao i buduće promjene provođenja, nemojte automatski dodavati ni uklanjati potključ registra "RequireSeal". Ovaj potključ registra mora se ručno dodati da bi se mogao čitati. Pročitajte članak Promjena 3.
RequireSeal subkey
|
Ključ registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Vrijednost |
RequireSeal |
|
Vrsta podataka |
REG_DWORD |
|
Podaci |
0 – onemogućeno 1 – Način kompatibilnosti. Domenski kontroleri sustava Windows zahtijevaju da klijenti servisa Netlogon koriste RPC Seal ako koriste Windows ili ako djeluju kao kontrolori domene ili računi pouzdanosti. 2 - Način provođenja. Za korištenje RPC pečata potrebni su svi klijenti. Pročitajte članak Promjena 2. |
|
Potrebno je ponovno pokretanje? |
Ne |
Događaji u sustavu Windows povezani s cve-2022-38023
NAPOMENA Sljedeći događaji imaju jednosmjedni međuspremnik u kojem se duplicirani događaji koji sadrže iste informacije odbace tijekom tog međuspremnika.
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Pogreška |
|
Izvor događaja |
NETLOGON |
|
ID događaja |
5838 |
|
Tekst događaja |
Servis Netlogon naišao je na klijenta koji koristi RPC potpisivanje umjesto RPC brtvljenje. |
Ako pronađete ovu poruku o pogrešci u zapisnicima događaja, morate poduzeti sljedeće akcije da biste riješili pogrešku sustava:
-
Provjerite je li na uređaju instalirana podržana verzija sustava Windows.
-
Provjerite jesu li svi uređaji ažurni.
-
Provjerite je li član domene: Član domene Digitalno šifrira ili potpisi podatke sigurnog kanala (uvijek) postavljen na Omogućeno .
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Pogreška |
|
Izvor događaja |
NETLOGON |
|
ID događaja |
5839 |
|
Tekst događaja |
Servis Netlogon naišao je na pouzdano korištenje potpisivanja RPC-a umjesto RPC brtvljenje. |
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
NETLOGON |
|
ID događaja |
5840 |
|
Tekst događaja |
Servis Netlogon stvorio je siguran kanal s klijentom pomoću RC4. |
Ako pronađete Događaj 5840, to je znak da klijent u vašoj domeni koristi slabu kriptografiju.
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Pogreška |
|
Izvor događaja |
NETLOGON |
|
ID događaja |
5841 |
|
Tekst događaja |
Servis Netlogon uskratio je klijentu korištenje rc4 zbog postavke 'RejectMd5Clients'. |
Ako pronađete Događaj 5841, to je znak da je vrijednost RejectMD5Clients postavljena na TRUE .
Ključ RejectMD5Clients postojeći je ključ servisa Netlogon. Dodatne informacije potražite u opisu RejectMD5Clients apstraktnog podatkovnog modela.
Najčešća pitanja (najčešća pitanja)
Ovaj CVE utječe na sve račune računala pridružene domeni. Događaji će pokazati na koga taj problem najviše utječe nakon instalacije ažuriranja sustava Windows od 8. studenog 2022. ili novije verzije, pregledajte odjeljak Pogreške zapisnika događaja da biste riješili probleme.
Da biste lakše otkrili starije klijente koji ne koriste najjače dostupne kriptovalute, ovo ažuriranje uvodi zapisnike događaja za klijente koji koriste RC4.
Potpisivanje RPC-a je kada Netlogon protokol koristi RPC za potpisivanje poruka koje šalje putem žice. RPC brtvljenje je kada Netlogon protokol i potpisuje i šifrira poruke koje šalje putem žice.
Domenski kontroler sustava Windows određuje izvodi li klijent Netlogon Windows upitom atributa "OperatingSystem" u servisu Active Directory za klijent netlogon i provjerava sljedeće nizove:
-
"Windows", "Hyper-V Server" i "Azure Stack HCI"
Ne preporučujemo ni ne podržavamo da netlogon klijenti ili administratori domene mijenjaju taj atribut u vrijednost koja nije reprezentativni za operacijski sustav (OS) koji izvodi klijent Netlogon. Imajte na umu da kriterije pretraživanja možemo promijeniti u bilo kojem trenutku. Pročitajte članak Promjena 3.
Faza provođenja ne odbacuje Netlogon klijente na temelju vrste šifriranja koju klijenti koriste. To će samo odbaciti Netlogon klijenti ako ne RPC potpisivanje umjesto RPC Brtvljenje. Odbacivanje RC4 Netlogon klijenata temelji se na ključu registra "RejectMd5Clients" dostupnom za Windows Server 2008 R2 i novijim domenskih kontrolera sustava Windows. Faza provođenja za ovo ažuriranje ne mijenja vrijednost "RejectMd5Clients". Preporučujemo korisnicima omogućivanje vrijednosti "RejectMd5Clients" radi veće sigurnosti u domenama. Pročitajte članak Promjena 3.
Rječnik
Advanced Encryption Standard (AES) šifra je bloka koja zamjenjuje standard za šifriranje podataka (DES). AES se može koristiti za zaštitu elektroničkih podataka. AES algoritam može se koristiti za šifriranje (šifriranje) i dešifriranje (dešifriranje) podataka. Šifriranje pretvara podatke u nečitljiv oblik pod nazivom tekst šifriranja; dešifriranje šifriranog teksta pretvara podatke natrag u izvorni oblik, pod nazivom običan tekst. AES se koristi u simetrično-ključnoj kriptografiji, što znači da se isti ključ koristi za operacije šifriranja i dešifriranja. To je i šifra bloka, što znači da funkcionira na blokovima običnog teksta i tekstne veličine fiksne veličine, a zahtijeva da veličina običnog teksta i šifra bude točan višekratnik te veličine bloka. AES je također poznat kao Rijndael simetrični algoritam šifriranja [FIPS197] .
U okruženju mrežne sigurnosti kompatibilnom s operacijskim sustavom Windows NT komponenta odgovorna za sinkronizaciju i održavanje između primarnog domenskog kontrolera (PDC) i domenskog kontrolera sigurnosne kopije (BDC). Netlogon je prethodnik protokola poslužitelja replikacije direktorija (DRS). Sučelje poziva udaljene procedure (RPC) servisa Netlogon Remote Protocol prvenstveno se koristi za održavanje odnosa između uređaja i njegove domene te odnosa između kontrolora domena (DC- ova) i domena. Dodatne informacije potražite u članku Netlogon Remote Protocol.
RC4-HMAC (RC4) je simetrični algoritam šifriranja promjenjive duljine ključa. Dodatne informacije potražite u odjeljku [SCHNEIER] 17.1.
Provjerena veza poziva udaljene procedure (RPC) između dva računala u domeni s uspostavljenim sigurnosnim kontekstom koji se koristi za potpisivanje i šifriranje RPC paketa.
