Összefoglalás
A 2024. április 9-én vagy azt követően kiadott Windows biztonsági frissítések a Kerberos PAC Validation Protocol használatával kezelik a jogosultsági biztonsági rések kiterjesztését. A Privilege Attribute Certificate (PAC) a Kerberos-szolgáltatásjegyek bővítménye. Információkat tartalmaz a hitelesítő felhasználóról és a jogosultságaikról. Ez a frissítés kijavít egy biztonsági rést, amely miatt a folyamat felhasználója hamisíthatja az aláírást, hogy megkerülje a KB5020805: A CVE-2022-37967-höz kapcsolódó Kerberos-protokollmódosítások kezelése című témakörben hozzáadott PAC-aláírás-ellenőrzési biztonsági ellenőrzéseket.
A biztonsági résekről a CVE-2024-26248 és a CVE-2024-29056 című témakörben olvashat bővebben.
Művelet végrehajtása
FONTOSA 2024. április 9-én vagy azt követően kiadott frissítés telepítésének 1. lépése alapértelmezés szerint NEM oldja meg teljesen a CVE-2024-26248 és a CVE-2024-29056 biztonsági problémáit. Az összes eszköz biztonsági problémájának teljes mérsékléséhez a környezet teljes frissítése után át kell váltania a Kényszerített módra (a 3. lépésben leírtak szerint).
A környezet védelme és a kimaradások megelőzése érdekében az alábbi lépéseket javasoljuk:
-
FRISSÍTÉS: A Windows-tartományvezérlőket és a Windows-ügyfeleket 2024. április 9-én vagy azt követően kiadott Windows biztonsági frissítéssel kell frissíteni.
-
MONITOR: A naplózási események kompatibilitási módban láthatók lesznek a nem frissített eszközök azonosításához.
-
ENGEDÉLYEZI: Miután a kényszerítési mód teljes mértékben engedélyezve van a környezetben, a CVE-2024-26248 és a CVE-2024-29056 cikkben ismertetett biztonsági rések enyhítve lesznek.
Háttér
Amikor egy Windows-munkaállomás PAC-érvényesítést hajt végre egy bejövő Kerberos-hitelesítési folyamaton, új kérést (hálózatijegy-bejelentkezést) hajt végre a szolgáltatásjegy érvényesítéséhez. A rendszer először a Munkaállomások tartomány tartományvezérlőjének (DC) továbbítja a kérést a Netlogonon keresztül.
Ha a szolgáltatásfiók és a számítógépfiók különböző tartományokhoz tartozik, a kérés a Szükséges megbízhatósági kapcsolatok között a Netlogonon keresztül történik, amíg el nem éri a szolgáltatási tartományt; ellenkező esetben a számítógépfiókok tartományában lévő tartományvezérlő végzi el az ellenőrzést. A tartományvezérlő ezután meghívja a Kulcsterjesztési központot (KDC) a szolgáltatásjegy PAC-aláírásainak ellenőrzéséhez, és visszaküldi a felhasználó- és eszközadatokat a munkaállomásnak.
Ha a kérést és a választ egy megbízhatósági kapcsolaton keresztül továbbítják (abban az esetben, ha a szolgáltatásfiók és a munkaállomás-fiók különböző tartományokhoz tartozik), a megbízhatósági kapcsolat minden tartományvezérlője szűri a rá vonatkozó engedélyezési adatokat.
Változások idővonala
Frissítések az alábbiak szerint jelennek meg. Vegye figyelembe, hogy ez a kiadási ütemezés szükség szerint módosítható.
A kezdeti üzembe helyezési fázis a 2024. április 9-én kiadott frissítésekkel kezdődik. Ez a frissítés új viselkedést ad hozzá, amely megakadályozza a CVE-2024-26248 és a CVE-2024-29056 verzióban ismertetett jogosultsági biztonsági rések kiterjesztését, de csak akkor kényszeríti ki, ha a környezetben lévő Windows-tartományvezérlők és Windows-ügyfelek is frissülnek.
Az új viselkedés engedélyezéséhez és a biztonsági rések elhárításához meg kell győződnie arról, hogy a teljes Windows-környezet (beleértve a tartományvezérlőket és az ügyfeleket is) frissült. A rendszer naplózza a naplózott eseményeket a nem frissített eszközök azonosításához.
Frissítések 2024. október 15-én vagy azt követően kiadott Frissítések a környezetben lévő összes Windows-tartományvezérlőt és -ügyfelet Kényszerített módba helyezi át, ha a beállításjegyzék alkulcsának beállításait PacSignatureValidationLevel=3 és CrossDomainFilteringLevel=4 értékre módosítja, ami alapértelmezés szerint kényszeríti a biztonságos működést.
A rendszergazda felülírhatja az alapértelmezett kényszerítés beállításait a kompatibilitási mód visszaállításához.
A 2025. április 8-án vagy azt követően kiadott Windows biztonsági frissítések eltávolítják a PacSignatureValidationLevel és a CrossDomainFilteringLevel beállításkulcsok támogatását, és kikényszeríti az új biztonságos viselkedést. A frissítés telepítése után a kompatibilitási mód nem támogatott.
Lehetséges problémák és elhárítások
Lehetséges problémák merülhetnek fel, például PAC-érvényesítési és erdőközi szűrési hibák. A 2024. április 9-i biztonsági frissítés tartalék logikát és beállításjegyzék-beállításokat tartalmaz a problémák elhárításához
Beállításjegyzék-beállítások
Ezt a biztonsági frissítést windowsos eszközök (beleértve a tartományvezérlőket is) számára kínáljuk. A viselkedést vezérlő alábbi beállításkulcsokat csak azon a Kerberos-kiszolgálón kell üzembe helyezni, amely fogadja a bejövő Kerberos-hitelesítést és elvégzi a PAC-ellenőrzést.
|
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Érték |
PacSignatureValidationLevel |
|
|
Adattípus |
REG_DWORD |
|
|
Adat |
2 |
Alapértelmezett (kompatibilitás a nem javított környezettel) |
|
3 |
Érvényesíteni |
|
|
Újraindítás szükséges? |
Nem |
|
|
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Érték |
CrossDomainFilteringLevel |
|
|
Adattípus |
REG_DWORD |
|
|
Adat |
2 |
Alapértelmezett (kompatibilitás a nem javított környezettel) |
|
4 |
Érvényesíteni |
|
|
Újraindítás szükséges? |
Nem |
|
Ez a beállításkulcs üzembe helyezhető mindkét, bejövő Kerberos-hitelesítést elfogadó Windows-kiszolgálón, valamint bármely olyan Windows-tartományvezérlőn, amely az új hálózatijegy-bejelentkezési folyamatot érvényesíti.
|
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Érték |
AuditKerberosTicketLogonEvents |
|
|
Adattípus |
REG_DWORD |
|
|
Adat |
1 |
Alapértelmezett – kritikus események naplózása |
|
2 |
Az összes Netlogon-esemény naplózása |
|
|
0 |
Ne naplózza a Netlogon-eseményeket |
|
|
Újraindítás szükséges? |
Nem |
|
Eseménynaplók
A bejövő Kerberos-hitelesítést elfogadó Kerberos-kiszolgálón a következő Kerberos-naplózási események jönnek létre. Ez a Kerberos-kiszolgáló PAC-ellenőrzést végez, amely az új hálózatijegy-bejelentkezési folyamatot használja.
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Információs |
|
Eseményforrás |
Security-Kerberos |
|
Eseményazonosító |
21 |
|
Esemény szövege |
A Kerberos hálózati jegybejelentkezés során a Tartományi <tartományból> fiók <-fiók szolgáltatásjegye> a dc <tartományvezérlő> a következő műveleteket hajtotta végre rajta. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2262558. |
Ez az esemény akkor jelenik meg, ha egy tartományvezérlő nem végzetes műveletet végzett egy hálózati jegy bejelentkezési folyamata során. Jelenleg a következő műveleteket naplózza a rendszer:
-
A felhasználói azonosítók szűrése megtörtént.
-
Az eszközazonosítók szűrése megtörtént.
-
Az összetett identitás el lett távolítva, mert a SID-szűrés letiltotta az eszköz identitását.
-
Az összetett identitás el lett távolítva, mert a SID-szűrés nem engedélyezte az eszköz tartománynevét.
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Hiba |
|
Eseményforrás |
Security-Kerberos |
|
Eseményazonosító |
22 |
|
Esemény szövege |
A Kerberos hálózati jegybejelentkezés során a tartományvezérlő <tartományvezérlő> az alábbi okok miatt megtagadta a tartományi <> tartományból> fiók <szolgáltatásjegyét. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2262558. |
Ez az esemény akkor jelenik meg, ha egy tartományvezérlő az eseményben látható okokból megtagadta a hálózati jegy bejelentkezési kérését.
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés vagy hiba |
|
Eseményforrás |
Security-Kerberos |
|
Eseményazonosító |
23 |
|
Esemény szövege |
A Kerberos hálózati jegybejelentkezés során a tartományi <domain_name> fiók <account_name> szolgáltatásjegye nem továbbítható egy tartományvezérlőre a kérés kiszolgálásához. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Ez az esemény figyelmeztetésként jelenik meg, ha a PacSignatureValidationLevel AND CrossDomainFilteringLevel nincs kényszerítve vagy szigorúbb értékre állítva. Figyelmeztetésként naplózva az esemény azt jelzi, hogy a hálózatijegy-bejelentkezési folyamatok olyan tartományvezérlővel vagy azzal egyenértékű eszközzel léptek kapcsolatba, amely nem értette az új mechanizmust. A hitelesítés visszaállt a korábbi működésre.
-
Ez az esemény hibaként jelenik meg, ha a PacSignatureValidationLevel VAGY a CrossDomainFilteringLevel kényszerítés vagy szigorúbb értékre van állítva. Ez az esemény "hibaként" azt jelzi, hogy a hálózatijegy-bejelentkezési folyamat olyan tartományvezérlővel vagy azzal egyenértékű eszközzel lépett kapcsolatba, amely nem értette az új mechanizmust. A hitelesítés megtagadva, és nem tudott visszaállni a korábbi viselkedésre.
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Hiba |
|
Eseményforrás |
Netlogon |
|
Eseményazonosító |
5842 |
|
Esemény szövege |
A Netlogon szolgáltatás váratlan hibát észlelt a Kerberos hálózati jegy bejelentkezési kérésének feldolgozásakor. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2261497. Szolgáltatásjegy-fiók: <fiók> Szolgáltatásjegy-tartomány: <tartomány> Munkaállomás neve: <gépnév> Állapot: <hibakód> |
Ez az esemény akkor jön létre, amikor a Netlogon váratlan hibát észlelt egy hálózati jegy bejelentkezési kérése során. Ezt az eseményt akkor naplózza a rendszer, ha az AuditKerberosTicketLogonEvents értéke (1) vagy magasabb.
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Netlogon |
|
Eseményazonosító |
5843 |
|
Esemény szövege |
A Netlogon szolgáltatás nem tudott Kerberos hálózatijegy-bejelentkezési kérést továbbítani a tartományvezérlőnek <tartományvezérlő>. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2261497. Szolgáltatásjegy-fiók: <fiók> Szolgáltatásjegy-tartomány: <tartomány> Munkaállomás neve: <gépnév> |
Ez az esemény akkor jön létre, amikor a Netlogon nem tudta befejezni a hálózati jegybejelentkezést, mert egy tartományvezérlő nem értette a változásokat. A Netlogon protokoll korlátozásai miatt a Netlogon-ügyfél nem tudja megállapítani, hogy az a tartományvezérlő, amellyel a Netlogon-ügyfél közvetlenül beszél, nem érti-e a módosításokat, vagy tartományvezérlő-e a továbbítási lánc mentén, amely nem érti a változásokat.
-
Ha a szolgáltatásjegy tartománya megegyezik a számítógépfiók tartományával, akkor valószínű, hogy az eseménynaplóban szereplő tartományvezérlő nem érti a hálózati jegy bejelentkezési folyamatát.
-
Ha a szolgáltatásjegy tartománya eltér a számítógépfiók tartományától, a számítógépfiók tartományától a szolgáltatásfiók tartományához vezető egyik tartományvezérlő nem értette a hálózati jegy bejelentkezési folyamatát
Ez az esemény alapértelmezés szerint ki van kapcsolva. A Microsoft azt javasolja, hogy a felhasználók először frissítsek a teljes flottájukat, mielőtt bekapcsolják az eseményt.
Ezt az eseményt akkor naplózza a rendszer, ha az AuditKerberosTicketLogonEvents értéke (2).
Gyakori kérdések (GYIK)
A nem frissített tartományvezérlők nem ismerik fel ezt az új kérelemstruktúrát. Ez a biztonsági ellenőrzés sikertelenségéhez vezet. Kompatibilitási módban a régi kérelemstruktúra lesz használatban. Ez a forgatókönyv továbbra is sebezhető a CVE-2024-26248 és a CVE-2024-29056 verzióval szemben.
Igen. Ennek az az oka, hogy az új hálózatijegy-bejelentkezési folyamatot át kell irányítani a tartományok között a szolgáltatásfiók tartományának eléréséhez.
A PAC-ellenőrzés bizonyos körülmények között kihagyható, beleértve, de nem kizárólagosan a következő forgatókönyveket:
-
Ha a szolgáltatás TCB-jogosultsággal rendelkezik. Általában a SYSTEM-fiók környezetében futó szolgáltatások (például SMB-fájlmegosztások vagy LDAP-kiszolgálók) rendelkeznek ezzel a jogosultsággal.
-
Ha a szolgáltatás a Feladatütemezőből fut.
Ellenkező esetben a PAC-érvényesítés minden bejövő Kerberos-hitelesítési folyamaton megtörténik.
Ezek a CVE-k helyi jogosultságszint-emelési jogosultságot igényelnek, amikor egy, a Windows munkaállomáson futó rosszindulatú vagy feltört szolgáltatásfiók megpróbálja megemelni a jogosultságukat a helyi rendszergazdai jogosultságok megszerzéséhez. Ez azt jelenti, hogy csak a bejövő Kerberos-hitelesítést elfogadó Windows-munkaállomás érintett.
