Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Eredeti közzététel dátuma: 2024. április 9.

TUDÁSBÁZIS-azonosító: 5037754

A Windows 10 támogatása 2025 októberében megszűnik

2025. október 14-e után a Microsoft már nem biztosít ingyenes szoftverfrissítéseket Windows Update-ből, technikai segítséget vagy biztonsági javításokat a Windows 10-hez. A számítógép továbbra is működni fog, de javasoljuk, hogy váltson Windows 11-re.

További információ

Dátum módosítása

Leírás

2025. január 9., szombat

A "2025. január: Kényszerített alapértelmezett fázis" szakaszban a "Változások ütemterve" szakaszban kiemelte, hogy a meglévő beállításkulcs-beállítások felülbírálják a 2025 januárjában vagy azt követően kiadott frissítések alapértelmezett viselkedését.

2024. október 1.

A Kényszerített alapértelmezett fázis 2024 októberéről 2025 januárjára módosult.

Összefoglalás

A 2024. április 9-én vagy azt követően kiadott Windows biztonsági frissítések a Kerberos PAC Validation Protocol használatával kezelik a jogosultsági biztonsági rések kiterjesztését. A Privilege Attribute Certificate (PAC) a Kerberos-szolgáltatásjegyek bővítménye. Információkat tartalmaz a hitelesítő felhasználóról és a jogosultságaikról. Ez a frissítés kijavít egy biztonsági rést, amely miatt a folyamat felhasználója hamisíthatja az aláírást, hogy megkerülje a KB5020805: A CVE-2022-37967-höz kapcsolódó Kerberos-protokollmódosítások kezelése című témakörben hozzáadott PAC-aláírás-ellenőrzési biztonsági ellenőrzéseket.

Emellett ez a frissítés bizonyos erdők közötti forgatókönyvek biztonsági réseit is elhárítja. A biztonsági résekről a CVE-2024-26248 és a CVE-2024-29056 című témakörben olvashat bővebben.

Művelet végrehajtása

FONTOSA 2024. április 9-én vagy azt követően kiadott frissítés telepítésének 1. lépése alapértelmezés szerint NEM oldja meg teljesen a CVE-2024-26248 és a CVE-2024-29056 biztonsági problémáit. Az összes eszköz biztonsági problémájának teljes mérsékléséhez a környezet teljes frissítése után át kell váltania a Kényszerített módra (a 3. lépésben leírtak szerint).

A környezet védelme és a kimaradások megelőzése érdekében az alábbi lépéseket javasoljuk:

  1. FRISSÍT: A Windows-tartományvezérlőket és a Windows-ügyfeleket 2024. április 9-én vagy azt követően kiadott Windows biztonsági frissítéssel kell frissíteni.

  2. MONITOR: A naplózási események kompatibilitási módban láthatók lesznek a nem frissített eszközök azonosításához.

  3. ENGEDÉLYEZ: Miután a kényszerítési mód teljes mértékben engedélyezve van a környezetben, a CVE-2024-26248 és a CVE-2024-29056 cikkben ismertetett biztonsági rések enyhítve lesznek.

Háttér

Amikor egy Windows-munkaállomás PAC-érvényesítést hajt végre egy bejövő Kerberos-hitelesítési folyamaton, új kérést (hálózatijegy-bejelentkezést) hajt végre a szolgáltatásjegy érvényesítéséhez. A rendszer először a Munkaállomások tartomány tartományvezérlőjének (DC) továbbítja a kérést a Netlogonon keresztül.

Ha a szolgáltatásfiók és a számítógépfiók különböző tartományokhoz tartozik, a kérés a Szükséges megbízhatósági kapcsolatok között a Netlogonon keresztül történik, amíg el nem éri a szolgáltatási tartományt; ellenkező esetben a számítógépfiókok tartományában lévő tartományvezérlő végzi el az ellenőrzést. A tartományvezérlő ezután meghívja a Kulcsterjesztési központot (KDC) a szolgáltatásjegy PAC-aláírásainak ellenőrzéséhez, és visszaküldi a felhasználó- és eszközadatokat a munkaállomásnak.

Ha a kérést és a választ egy megbízhatósági kapcsolaton keresztül továbbítják (abban az esetben, ha a szolgáltatásfiók és a munkaállomás-fiók különböző tartományokhoz tartozik), a megbízhatósági kapcsolat minden tartományvezérlője szűri a rá vonatkozó engedélyezési adatokat.

Változások idővonala

Frissítések az alábbiak szerint jelennek meg. Vegye figyelembe, hogy ez a kiadási ütemezés szükség szerint módosítható.

A kezdeti üzembe helyezési fázis a 2024. április 9-én kiadott frissítésekkel kezdődik. Ez a frissítés új viselkedést ad hozzá, amely megakadályozza a CVE-2024-26248 és a CVE-2024-29056 verzióban ismertetett jogosultsági biztonsági rések kiterjesztését, de csak akkor kényszeríti ki, ha a környezetben lévő Windows-tartományvezérlők és Windows-ügyfelek is frissülnek.

Az új viselkedés engedélyezéséhez és a biztonsági rések elhárításához meg kell győződnie arról, hogy a teljes Windows-környezet (beleértve a tartományvezérlőket és az ügyfeleket is) frissült. A rendszer naplózza a naplózott eseményeket a nem frissített eszközök azonosításához.

Frissítések 2025 januárjában vagy azt követően kiadott Frissítések a környezetben lévő összes Windows-tartományvezérlőt és -ügyfelet Kényszerített módba helyezi át. Ez a mód alapértelmezés szerint kényszeríti a biztonságos viselkedést. A korábban beállított meglévő beállításkulcs-beállítások felülbírálják ezt az alapértelmezett viselkedésmódosítást.

A rendszergazda felülírhatja az alapértelmezett kényszerített mód beállításait a kompatibilitási mód visszaállításához.

A 2025 áprilisában vagy azt követően kiadott Windows biztonsági frissítések eltávolítják a PacSignatureValidationLevel és a CrossDomainFilteringLevel beállításjegyzék-alkulcsok támogatását, és kikényszeríti az új biztonságos viselkedést. A 2025. áprilisi frissítés telepítése után a kompatibilitási mód nem támogatott.

Lehetséges problémák és elhárítások

Lehetséges problémák merülhetnek fel, például PAC-érvényesítési és erdőközi szűrési hibák. A 2024. április 9-i biztonsági frissítés tartalék logikát és beállításjegyzék-beállításokat tartalmaz a problémák elhárításához

Beállításjegyzék-beállítások

Ezt a biztonsági frissítést windowsos eszközök (beleértve a tartományvezérlőket is) számára kínáljuk. A viselkedést vezérlő alábbi beállításkulcsokat csak azon a Kerberos-kiszolgálón kell üzembe helyezni, amely fogadja a bejövő Kerberos-hitelesítést és elvégzi a PAC-ellenőrzést.

Beállításjegyzék alkulcsa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Érték

PacSignatureValidationLevel

Adattípus:

REG_DWORD

Adatok

2

Alapértelmezett (kompatibilitás a nem javított környezettel)

3

Kierőszakol

Újraindítás szükséges?

Nem

Beállításjegyzék alkulcsa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Érték

CrossDomainFilteringLevel

Adattípus:

REG_DWORD

Adatok

2

Alapértelmezett (kompatibilitás a nem javított környezettel)

4

Kierőszakol

Újraindítás szükséges?

Nem

Ez a beállításkulcs üzembe helyezhető mindkét, bejövő Kerberos-hitelesítést elfogadó Windows-kiszolgálón, valamint bármely olyan Windows-tartományvezérlőn, amely az új hálózatijegy-bejelentkezési folyamatot érvényesíti.

Beállításjegyzék alkulcsa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Érték

AuditKerberosTicketLogonEvents

Adattípus:

REG_DWORD

Adatok

1

Alapértelmezett – kritikus események naplózása

2

Az összes Netlogon-esemény naplózása

0

Ne naplózza a Netlogon-eseményeket

Újraindítás szükséges?

Nem

Eseménynaplók

A bejövő Kerberos-hitelesítést elfogadó Kerberos-kiszolgálón a következő Kerberos-naplózási események jönnek létre. Ez a Kerberos-kiszolgáló PAC-ellenőrzést végez, amely az új hálózatijegy-bejelentkezési folyamatot használja.

Eseménynapló

Rendszer

Esemény típusa

Információs

Eseményforrás

Security-Kerberos

Eseményazonosító

21

Esemény szövege

A Kerberos hálózati jegybejelentkezés során a Tartományi <tartományból> fiók <-fiók szolgáltatásjegye> a dc <tartományvezérlő> a következő műveleteket hajtotta végre rajta. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2262558.<művelet>

Ez az esemény akkor jelenik meg, ha egy tartományvezérlő nem végzetes műveletet végzett egy hálózati jegy bejelentkezési folyamata során. Jelenleg a következő műveleteket naplózza a rendszer:

  • A felhasználói azonosítók szűrése megtörtént.

  • Az eszközazonosítók szűrése megtörtént.

  • Az összetett identitás el lett távolítva, mert a SID-szűrés letiltotta az eszköz identitását.

  • Az összetett identitás el lett távolítva, mert a SID-szűrés nem engedélyezte az eszköz tartománynevét.

Eseménynapló

Rendszer

Esemény típusa

Hiba

Eseményforrás

Security-Kerberos

Eseményazonosító

22

Esemény szövege

A Kerberos hálózati jegybejelentkezés során a tartományvezérlő <tartományvezérlő> az alábbi okok miatt megtagadta a tartományi <> tartományból> fiók <szolgáltatásjegyét. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2262558.Ok: <ok> ErrorCode: <hibakód>

Ez az esemény akkor jelenik meg, ha egy tartományvezérlő az eseményben látható okokból megtagadta a hálózati jegy bejelentkezési kérését. ​​​​​​

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés vagy hiba

Eseményforrás

Security-Kerberos

Eseményazonosító

23

Esemény szövege

A Kerberos hálózati jegybejelentkezés során a tartományi <domain_name> fiók <account_name> szolgáltatásjegye nem továbbítható egy tartományvezérlőre a kérés kiszolgálásához. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2262558.

  • Ez az esemény figyelmeztetésként jelenik meg, ha a PacSignatureValidationLevel AND CrossDomainFilteringLevel nincs kényszerítve vagy szigorúbb értékre állítva. Figyelmeztetésként naplózva az esemény azt jelzi, hogy a hálózatijegy-bejelentkezési folyamatok olyan tartományvezérlővel vagy azzal egyenértékű eszközzel léptek kapcsolatba, amely nem értette az új mechanizmust. A hitelesítés visszaállt a korábbi működésre.

  • Ez az esemény hibaként jelenik meg, ha a PacSignatureValidationLevel VAGY a CrossDomainFilteringLevel kényszerítés vagy szigorúbb értékre van állítva. Ez az esemény "hibaként" azt jelzi, hogy a hálózatijegy-bejelentkezési folyamat olyan tartományvezérlővel vagy azzal egyenértékű eszközzel lépett kapcsolatba, amely nem értette az új mechanizmust. A hitelesítés megtagadva, és nem tudott visszaállni a korábbi viselkedésre.

Eseménynapló

Rendszer

Esemény típusa

Hiba

Eseményforrás

Netlogon

Eseményazonosító

5842

Esemény szövege

A Netlogon szolgáltatás váratlan hibát észlelt a Kerberos hálózati jegy bejelentkezési kérésének feldolgozásakor. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2261497.

Szolgáltatásjegy-fiók: <fiók>

Szolgáltatásjegy-tartomány: <tartomány>

Munkaállomás neve: <gépnév>

Állapot: <hibakód>

Ez az esemény akkor jön létre, amikor a Netlogon váratlan hibát észlelt egy hálózati jegy bejelentkezési kérése során. Ezt az eseményt akkor naplózza a rendszer, ha az AuditKerberosTicketLogonEvents értéke (1) vagy magasabb.

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Eseményforrás

Netlogon

Eseményazonosító

5843

Esemény szövege

A Netlogon szolgáltatás nem tudott Kerberos hálózatijegy-bejelentkezési kérést továbbítani a tartományvezérlőnek <tartományvezérlő>. További információért látogasson el a https://go.microsoft.com/fwlink/?linkid=2261497.

Szolgáltatásjegy-fiók: <fiók>

Szolgáltatásjegy-tartomány: <tartomány>

Munkaállomás neve: <gépnév>

Ez az esemény akkor jön létre, amikor a Netlogon nem tudta befejezni a hálózati jegybejelentkezést, mert egy tartományvezérlő nem értette a változásokat. A Netlogon protokoll korlátozásai miatt a Netlogon-ügyfél nem tudja megállapítani, hogy az a tartományvezérlő, amellyel a Netlogon-ügyfél közvetlenül beszél, nem érti-e a módosításokat, vagy tartományvezérlő-e a továbbítási lánc mentén, amely nem érti a változásokat.

  • Ha a szolgáltatásjegy tartománya megegyezik a számítógépfiók tartományával, akkor valószínű, hogy az eseménynaplóban szereplő tartományvezérlő nem érti a hálózati jegy bejelentkezési folyamatát.

  • Ha a szolgáltatásjegy tartománya eltér a számítógépfiók tartományától, a számítógépfiók tartományától a szolgáltatásfiók tartományához vezető egyik tartományvezérlő nem értette a hálózati jegy bejelentkezési folyamatát

Ez az esemény alapértelmezés szerint ki van kapcsolva. A Microsoft azt javasolja, hogy a felhasználók először frissítsek a teljes flottájukat, mielőtt bekapcsolják az eseményt.

Ezt az eseményt akkor naplózza a rendszer, ha az AuditKerberosTicketLogonEvents értéke (2).

Gyakori kérdések (GYIK)

A nem frissített tartományvezérlők nem ismerik fel ezt az új kérelemstruktúrát. Ez a biztonsági ellenőrzés sikertelenségéhez vezet. Kompatibilitási módban a régi kérelemstruktúra lesz használatban. Ez a forgatókönyv továbbra is sebezhető a CVE-2024-26248 és a CVE-2024-29056 verzióval szemben.

Igen. Ennek az az oka, hogy az új hálózatijegy-bejelentkezési folyamatot át kell irányítani a tartományok között a szolgáltatásfiók tartományának eléréséhez.

A PAC-ellenőrzés bizonyos körülmények között kihagyható, beleértve, de nem kizárólagosan a következő forgatókönyveket:

  • Ha a szolgáltatás TCB-jogosultsággal rendelkezik. Általában a SYSTEM-fiók környezetében futó szolgáltatások (például SMB-fájlmegosztások vagy LDAP-kiszolgálók) rendelkeznek ezzel a jogosultsággal.

  • Ha a szolgáltatás a Feladatütemezőből fut.

Ellenkező esetben a PAC-érvényesítés minden bejövő Kerberos-hitelesítési folyamaton megtörténik.

Ezek a CVE-k helyi jogosultságszint-emelési jogosultságot igényelnek, amikor egy, a Windows munkaállomáson futó rosszindulatú vagy feltört szolgáltatásfiók megpróbálja megemelni a jogosultságukat a helyi rendszergazdai jogosultságok megszerzéséhez. Ez azt jelenti, hogy csak a bejövő Kerberos-hitelesítést elfogadó Windows-munkaállomás érintett.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.