Összefoglalás
A 2022. január 11-én Windows és az újabb Windows új és újabb frissítésekkel további védelmet nyújt a CVE-2022-21913.
A 2022. január 11-i vagy újabb Windows Windows-frissítések telepítése után a speciális titkosítási szabvány (AES) titkosítás lesz az elsődleges titkosítási módszer az Windows-ügyfeleken, amikor a régi Local Security Authority (Domain Policy) (Domain Policy) (MS-LSAD) protokollt használja a hálózaton keresztül küldött megbízható tartományi objektumjelszó-műveletekhez. Ez csak akkor igaz, ha a kiszolgáló támogatja az AES-titkosítást. Ha a kiszolgáló nem támogatja az AES-titkosítást, a rendszer engedélyezi a visszalépést a régi RC4-titkosításra.
A CVE-2022-21913 módosításai az MS-LSAD protokollra jellemzőek. Ezek függetlenek más protokolloktól. Az MS-LSAD távoli eljáráshíváson keresztül kiszolgálói üzenetblokkot (SMB) használ
(RPC) és neves neves vezetékek. Bár az SMB szintén támogatja a titkosítást, alapértelmezés szerint nincs engedélyezve. Alapértelmezés szerint a CVE-2022-21913 módosításai engedélyezve vannak, és további biztonságot nyújtanak az LSAD-rétegben. A CVE-2022-21913 2022. január 11-jén, az Windows-frissítésekben és a későbbi Windows-frissítésekben szereplő védelmi beállításokon túl nincs szükség további konfigurációs módosításokra a Windows. A nem támogatott Windows verziókat meg kell szakítani, vagy egy támogatott verzióra kell frissíteni.
Megjegyzés: A CVE-2022-21913 csak azt módosítja, hogy az MS-LSAD protokoll meghatározott API-inak használata esetén hogyan történik az átvitel során a megbízható jelszavak titkosítása, és kifejezetten nem módosítja a jelszavak tárolásának módját. A Jelszavak technikai áttekintése témakörben további információt talál arról, hogy miként történik a jelszavak titkosítása az Active Directoryban és helyben, a SAM-adatbázisban (beállításjegyzékben).
További információ
A 2022. január 11-i frissítések módosításai
-
Policy Object pattern
A frissítések módosítják a házirendobjektum-mintát a protokollon egy új Megnyitási házirend módszer hozzáadásával, amellyel az ügyfél és a kiszolgáló információkat oszthat meg az AES-támogatásról.Régi módszer AZ RC4-et használva
Új módszer az AES használatával
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Az MS-LSAR protokoll műveleti számai teljes listáját lásd: [MS-LSAD]:Üzenetfeldolgozási események és szekvencing szabályok.
-
Trusted Domain Object pattern
A frissítések módosítják a Megbízható tartományobjektum létrehozása mintát a protokollhoz úgy, hogy új módszert hozzáadva megbízhatóként létrehoznak egy hitelesítést, amely az AES segítségével titkosítja a hitelesítési adatokat.
A LsaCreateTrustedDomainEx API mostantól az új módszert részesíti előnyben, ha az ügyfél és a kiszolgáló is frissül, és visszatér a régebbi módszerre, ellenkező esetben.
Régi módszer AZ RC4-et használva
Új módszer az AES használatával
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
A frissítések módosítják a protokoll Trusted Domain Object Set mintáját úgy, hogy két új Megbízható információosztályt hozzáadnak a LsarSetInformationTrustedDomain (Opnum 27), a LsarSetTrustedDomainInfoByName (Opnum 49) metódushoz. A Megbízható tartományobjektum adatokat az alábbiak szerint állíthatja be.
Régi módszer AZ RC4-et használva
Új módszer az AES használatával
LsarSetInformationTrustedDomain (Opnum 27) és TrustedDomainAuthInformationInternal vagy TrustedDomainFullInformationInternal (RC4-et használó titkosított, megbízható jelszót használ)
LsarSetInformationTrustedDomain (Opnum 27) és TrustedDomainAuthInformationInternalAes vagy TrustedDomainFullInformationAes (az AES-t használó titkosított, megbízható jelszót használ)
LsarSetTrustedDomainInfoByName (Opnum 49) és TrustedDomainAuthInformationInternal vagy TrustedDomainFullInformationInternal (RC4-et és minden más attribútumot használó titkosított, megbízható jelszót tartalmaz)
LsarSetTrustedDomainInfoByName (Opnum 49) és TrustedDomainAuthInformationInternalAes vagy TrustedDomainFullInformationInternalAes (az AES-t és minden más attribútumot használó titkosított, megbízható jelszót tartalmaz)
Az új működés működése
A meglévő LsarOpenPolicy2 metódus általában egy környezetfüggő fogópont megnyitásához használatos az RPC-kiszolgálón. Ez az első függvény, amelyről kapcsolatba kell lépnie a helyi biztonsági hitelesítésszolgáltató távoli protokoll adatbázisával. A frissítések telepítése után a LsarOpenPolicy2-módszert az új LsarOpenPolicy3-módszer feleslegesít.
A LsaOpenPolicy API-t visszahívó frissített ügyfélprogram mostantól először a LsarOpenPolicy3 metódust fogja felhívni. Ha a kiszolgáló nem frissül, és nem implementálja a LsarOpenPolicy3 módszert, az ügyfél visszaesik a LsarOpenPolicy2 metódusra, és a korábbi, RC4 titkosítást használó módszereket használja.
A frissített kiszolgáló a LsarOpenPolicy3 metódus válaszában egy új bitet ad vissza, a LSAPR_REVISION_INFO_V1. További információt az MS-LSAD"AES Cipher usage" és "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES " (AES Cipher-használat) és "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" részében található.
Ha a kiszolgáló támogatja az AES-t, az ügyfél az új módszereket és új információs osztályokat fogja használni a további megbízható tartománybeli "létrehozási" és "beállítási" műveletekhez. Ha a kiszolgáló nem adja vissza ezt a jelölőt, vagy ha az ügyfél nem frissül, az ügyfél vissza fog térni a korábbi, RC4 titkosítást használó módszerekre.
Eseménynaplózás
A 2022. január 11-i frissítések egy új eseményt adnak hozzá a biztonsági eseménynaplóhoz, így segítik a nem frissített eszközök azonosítását és a biztonság javítását.
Érték |
Jelentés |
---|---|
Eseményforrás |
Microsoft-Windows-Security |
Eseményazonosító |
6425 |
Szint |
Információ |
Esemény üzenetszövege |
Egy hálózati ügyfélprogram egy régi RPC-módszerrel módosítja egy megbízható tartományi objektum hitelesítési adatait. A hitelesítési adatok régi titkosítási algoritmussal vannak titkosítva. Fontolja meg az ügyfél operációs rendszerének vagy alkalmazásának frissítését a módszer legújabb és biztonságosabb verziójának használatára. Megbízható tartomány:
Módosító:
Ügyfél hálózati címe: További információt a Https://go.microsoft.com/fwlink/?linkid=2161080. |
Gyakori kérdések
1. kérdés: Milyen forgatókönyvek váltják ki az AES-ről AZ RC4-re való visszalépést?
A1: A visszalépés akkor fordul elő, ha a kiszolgáló vagy az ügyfél nem támogatja az AES-t.
2. kérdés: Hogyan tudom megmondani, hogy az RC4-titkosítás vagy az AES-titkosítás a tárgyalásokat történt-e?
A2: A frissített kiszolgálók a 6425-ös eseményt naplózják, ha az RC4-et régebbi módszereket használnak.
3. kérdés: Megkövetelhető-e AES-titkosítás a kiszolgálón, és a jövőben Windows az AES használatával programozottan érvényesíthető frissítéseket?
A3: Jelenleg nincs elérhető kényszerítési mód. Előfordulhatnak azonban a jövőben is, bár ezt a változást nem ütemezi a program.
4. kérdés: Támogatják-e külső ügyfelek a CVE-2022-21913-as verzió védelmét az AES-nek, amikor a kiszolgáló támogatja őket? Kapcsolatba kell lépek a Microsoft ügyfélszolgálatával vagy a külső támogatási csapattal a kérdés megcímzése miatt?
A4: Ha egy külső eszköz vagy alkalmazás nem MS-LSAD protokollt használ, ez nem fontos. Az MS-LSAD protokollt implementálja külső gyártók dönthetnek úgy, hogy implementálja ezt a protokollt. További információért forduljon a külső szállítóhoz.
5. kérdés: Szükség van további konfigurációs módosításokra?
A5: Nincs szükség további konfigurációs módosításokra.
6. kérdés: Mi használja ezt a protokollt?
A6: Az MS-LSAD protokollt számos Windows összetevő használja, beleértve az Active Directoryt és az olyan eszközöket, mint például az Active Directory – tartományok és megbízhatósági konzol. Az alkalmazások is használhatjak ezt a protokollt az advapi32 könyvtár API-in keresztül, például A LsaOpenPolicy vagy A LsaCreateTrustedDomainEx.