FRISSÍTETT 2023. március 14.
Összefoglalás
A CVE-2021-42287 egy biztonsági megkerülő biztonsági rést old meg, amely hatással van a Kerberos Privilege Attribute Certificatere (PAC), és lehetővé teszi a lehetséges támadók számára a tartományvezérlők megszemélyesítését. A biztonsági rés kihasználásához egy feltört tartományi fiók miatt a Kulcsterjesztési központ (KDC) a feltört fióknál magasabb jogosultsági szinttel rendelkező szolgáltatásjegyet hozhat létre. Ezt úgy éri el, hogy megakadályozza, hogy a KDC azonosítani tudja, melyik fiókhoz tartozik a magasabb jogosultsági szintű szolgáltatásjegy.
A továbbfejlesztett hitelesítési folyamat a CVE-2021-42287-ben új információkat ad hozzá az eredeti kérelmezőről a Kerberos Ticket-Granting Tickets (TGT) pac-jához. Később, amikor Kerberos-szolgáltatásjegy jön létre egy fiókhoz, az új hitelesítési folyamat ellenőrzi, hogy a TGT-t kérő fiók megegyezik-e a szolgáltatásjegyben hivatkozott fiókkal.
A 2021. november 9-i vagy újabb Windows-frissítések telepítése után a rendszer hozzáadja a PAC-ket az összes tartományi fiók TGT-éhez, még azokhoz is, amelyek korábban a PAC-k elutasítását választották.
Művelet végrehajtása
A környezet védelme és a szolgáltatáskimaradások elkerülése érdekében hajtsa végre az alábbi lépéseket:
-
Frissítse az Active Directory tartományvezérlői szerepkört futtató összes eszközt a 2021. november 9-i biztonsági frissítés és a 2021. november 14-i sávon kívüli (OOB) frissítés telepítésével. Keresse meg alább az adott operációs rendszer OOB KB-számát.
Operációs rendszer
Tudásbáziscikk száma
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
-
Miután telepítette a 2021. november 9-i biztonsági frissítést és a 2021. november 14-i OOB-frissítést az összes Active Directory-tartományvezérlőn legalább 7 napra, határozottan javasoljuk, hogy minden Active Directory-tartományvezérlőn engedélyezze a kényszerítési módot.
-
A 2022. október 11-i kényszerítési fázis frissítésétől kezdve a kényszerítési mód minden Windows-tartományvezérlőn engedélyezve lesz, és kötelező lesz.
A Windows-frissítések időzítése – (frissítve: 2023. 01. 31.)
Ezek a Windows Frissítések három fázisban jelennek meg:
-
Kezdeti üzembe helyezés – A frissítés és a PacRequestorEnforcement beállításkulcsának bemutatása
-
Második üzembe helyezés – A PacRequestorEnforcement 0 értékének eltávolítása (a beállításkulcs letiltása)
-
Kényszerítési fázis – A kényszerítési mód engedélyezve van. Ebben a fázisban a PacRequestorEnforcement kulcs elavult, és már nem olvassa fel
2021. november 9.: Kezdeti üzembe helyezési fázis
A kezdeti üzembe helyezési fázis a 2021. november 9-én kiadott Windows-frissítéssel kezdődik. Ez a kiadás:
-
Védelmet nyújt a CVE-2021-42287-hez
-
Támogatja a PacRequestorEnforcement beállításjegyzék-értéket, amely lehetővé teszi, hogy a végrehajtás korai szakaszára váltson
A kockázatcsökkentés a Windows-frissítések telepítéséből áll minden olyan eszközön, amelyen a tartományvezérlői szerepkör és az írásvédett tartományvezérlők futnak.
2022. július 12.: Második üzembe helyezési fázis
A második üzembe helyezési fázis a 2022. július 12-én kiadott Windows-frissítéssel kezdődik. Ez a fázis eltávolítja a PacRequestorEnforcement 0 beállítást. A PacRequestorEnforcement 0 értékre állítása a frissítés telepítése után ugyanazzal a hatással jár, mint a PacRequestorEnforcement beállítása 1-re. A tartományvezérlők üzembehelyezési módban lesznek.
Megjegyzés Ez a fázis nem szükséges, ha a PacRequestorEnforcement soha nem lett 0-ra állítva a környezetben. Ez a fázis segít biztosítani, hogy a PacRequestorEnforcement beállítást 0-raállító ügyfelek a kényszerítési fázis előtt az 1-re lépjenek.
Megjegyzés Ez a frissítés feltételezi, hogy az összes tartományvezérlő a 2021. november 9-i vagy újabb Windows-frissítéssel frissül.
2022. október 11.: Kényszerítési fázis – (Frissítve: 2022. 01. 31.)
A 2022. október 11-i kiadás az összes Active Directory-tartományvezérlőt a kényszerítési fázisba alakítja át. A kényszerítési fázis elavultatja a PacRequestorEnforcement kulcsot, és többé nem olvassa fel. Ennek eredményeképpen a 2022. október 11-i frissítést telepítő Windows-tartományvezérlők nem lesznek kompatibilisek a következőkkel:
-
Azok a tartományvezérlők, amelyek nem telepítették a 2021. november 9-i vagy újabb frissítéseket.
-
Azok a tartományvezérlők, amelyek a 2021. november 9-i vagy újabb frissítéseket telepítették, de még nem telepítették a 2022. július 12-i frissítést, és akiknek a PacRequestorEnforcement beállításazonosítója 0.
A 2022. október 11-i frissítést telepített Windows-tartományvezérlők azonban továbbra is kompatibilisek maradnak a következőkkel:
-
A 2022. október 11-i vagy újabb frissítéseket telepített Windows-tartományvezérlők
-
Azok az Ablak tartományvezérlők, amelyek telepítették a 2021. november 9-i vagy újabb frissítéseket, és PacRequestorEnforcement értékkel vagy 1 vagy 2 értékkel rendelkeznek
Beállításkulcs adatai
Miután telepítette a CVE-2021-42287 védelmi megoldásokat a 2021. november 9. és 2022. június 14. között kiadott Windows-frissítésekben, a következő beállításkulcs lesz elérhető:
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Érték |
PacRequestorEnforcement |
Adattípus |
REG_DWORD |
Adat |
1: Adja hozzá az új PAC-t azoknak a felhasználóknak, akik a 2021. november 9-i vagy újabb frissítéseket tartalmazó Active Directory-tartományvezérlővel hitelesítettek. Hitelesítéskor, ha a felhasználónál az új PAC van, a PAC érvényesítve lesz. Ha a felhasználó nem rendelkezik az új PAC-sel, a rendszer nem hajt végre további műveletet. Az Active Directory-tartományvezérlők ebben a módban az üzembehelyezési fázisban vannak. 2: Adja hozzá az új PAC-t azoknak a felhasználóknak, akik olyan Active Directory-tartományvezérlővel hitelesítettek, amely telepítette a 2021. november 9-i vagy újabb frissítéseket. Hitelesítéskor, ha a felhasználónál az új PAC van, a PAC érvényesítve lesz. Ha a felhasználó nem rendelkezik az új PAC-el, a rendszer megtagadja a hitelesítést. Az Active Directory-tartományvezérlők ebben a módban a kényszerítési fázisban vannak. 0: Letiltja a beállításkulcsot. Nem ajánlott. Az Active Directory-tartományvezérlők ebben a módban a Letiltva fázisban vannak. Ez az érték nem létezik a 2022. július 12-i vagy újabb frissítések után. Fontos A 0 beállítás nem kompatibilis a 2. beállítással. Időszakos hibák akkor fordulhatnak elő, ha mindkét beállítást egy erdőben használják. Ha a 0 beállítást használja, javasoljuk, hogy a 0 (Letiltás) beállítást legalább egy héttel a 2.(Kényszerítési mód) beállításra való áttérés előtt váltsa át az 1(Üzemelő példány) beállításra. |
Alapértelmezett |
1 (ha nincs beállítva beállításkulcs) |
Újraindításra van szükség? |
Nem |
Naplózási események
A 2021. november 9-i Windows-frissítés új eseménynaplókat is hozzáad.
PAC attribútumok nélkül
A KDC a PAC attribútumpuffer nélkül talál TGT-t. Valószínű, hogy a naplókban lévő másik KDC nem tartalmazza a frissítést, vagy letiltott módban van.
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés |
Eseményforrás |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Eseményazonosító |
35 |
Esemény szövege |
A kulcsterjesztési központ (KDC) egy másik KDC (<KDC name>) jegymegadási jegyét (TGT) észlelte, amely nem tartalmaz PAC attribútummezőt. |
Jegy PAC nélkül
A KDC PAC nélkül talál TGT-t vagy más bizonyítékjegyet. Ez megakadályozza, hogy a KDC biztonsági ellenőrzéseket kényszerítsen ki a jegyen.
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés az üzembehelyezési fázis során Hiba a kényszerítési fázisban |
Eseményforrás |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Eseményazonosító |
36 |
Esemény szövege |
A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely nem tartalmaz PAC-et egy másik jegy kérésének feldolgozásakor. Ez megakadályozta a biztonsági ellenőrzések futtatását, és biztonsági réseket nyithatott meg. Ügyfél: <tartománynév>\<felhasználónév> Jegy a következőhöz: <Szolgáltatásnév> |
Jegy kérelmező nélkül
A KDC egy TGT-t vagy más bizonyítékjegyet észlel a PAC-kérelmező puffere nélkül. Valószínű, hogy a PAC-et összeállító KDC nem tartalmazza a frissítést, vagy letiltott módban van.
Megjegyzés A 37-es eseményekkel kapcsolatos fontos információkért tekintse meg az Ismert problémák szakaszt.
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés az üzembehelyezési fázis során Hiba a kényszerítési fázisban |
Eseményforrás |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Eseményazonosító |
37 |
Esemény szövege |
A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely nem tartalmazott információt arról a fiókról, amely a jegyet kérte egy másik jegy kérésének feldolgozásakor. Ez megakadályozta a biztonsági ellenőrzések futtatását, és biztonsági réseket nyithatott meg. Jegy PAC-je: <KDC-név> Ügyfél: <tartománynév>\<ügyfélnév> Jegy a következőhöz: <Szolgáltatásnév> |
A kérelmező eltérése
A KDC egy TGT- vagy egyéb bizonyítékjegyet észlel, és a TGT-t vagy bizonyítékjegyet kérő fiók nem egyezik azzal a fiókkal, amelybe a szolgáltatásjegyet létrehozták.
Eseménynapló |
Rendszer |
Esemény típusa |
Hiba |
Eseményforrás |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Eseményazonosító |
38 |
Esemény szövege |
A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely inkonzisztens információkat tartalmazott a jegyet kérő fiókról. Ez azt jelentheti, hogy a fiók átnevezve lett a jegy kiadása óta, ami valószínűleg egy biztonsági rés kiaknázása során történt. Jegy PAC-je: <Kdc név> Ügyfél: <tartománynév>\<felhasználónév> Jegy a következőhöz: <Szolgáltatásnév> Fiók BIZTONSÁGI AZONOSÍTÓ igénylése az Active Directoryból: <SID-> Fiók SID-ének kérése a jegyből: <SID-> |
Ismert problémák
Tünet |
Kerülő megoldás |
---|---|
A 2021. november 9-én vagy később kiadott Windows-frissítések tartományvezérlőkre (TARTOMÁNYVEZÉRLŐKre) való telepítése után egyes ügyfeleknél előfordulhat, hogy bizonyos jelszóbeállítás vagy módosítási műveletek, például a következő műveletek után naplózták az új 37-as naplózási eseményazonosítót:
Ha a 2021. november 9-én vagy később kiadott Windows-frissítések telepítése után egy hétig nem látja a 37-ös eseményazonosítót, és a PacRequestorEnforcement értéke "1" vagy "2", akkor a környezetére nincs hatással. Ha a PacRequestorEnforcement = 1 értéket állítja be, a rendszer figyelmeztetésként naplózza a 37-as eseményazonosítót, de a jelszómódosítási kérések sikeresek lesznek, és nem lesznek hatással a felhasználókra. Ha a PacRequestorEnforcement = 2 értéket állítja be, a jelszómódosítási kérések sikertelenek lesznek, és a fent felsorolt műveletek is meghiúsulnak. |
Ezt a problémát a következő frissítésekben javítottuk:
|
Gyakori kérdések
1. kérdés: Mi történik, ha olyan Active Directory-tartományvezérlők keverékével rendelkezem, amelyek frissítve vannak, és nem frissülnek?
A1. A frissített és nem frissített, de az alapértelmezett 1 PacRequestorEnforcement beállításkulcs-értékkel rendelkező tartományvezérlők keveréke kompatibilis egymással. A Microsoft azonban határozottan javasolja, hogy ne legyenek frissítve a környezetben frissített és nem frissített tartományvezérlők.
2. kérdés Mi történik, ha különböző PacRequestorEnforcement értékekkel rendelkező Active Directory-tartományvezérlők keverékével rendelkezem?
A2. A PacRequestorEnforcement 0 és 1 értékű tartományvezérlők keveréke kompatibilis egymással. Az 1 és 2 PacRequestorEnforcement értékekkel rendelkező tartományvezérlők keveréke kompatibilis egymással. A PacRequestorEnforcement 0 és 2 értékű tartományvezérlők keveréke nem kompatibilis egymással, és időszakos hibákat okozhat. További részletekért tekintse meg a Beállításkulcs információi szakaszt.