Ringkasan
11 Januari 2022, pembaruan Windows 11 Januari 2022, dan Windows yang lebih baru menambahkan proteksi untuk UV-2022-21913.
Setelah menginstal pembaruan Windows 11 Januari 2022, atau pembaruan Windows yang lebih baru, enkripsi Advanced Encryption Standard (AES) akan diatur sebagai metode enkripsi pilihan pada klien Windows ketika Anda menggunakan protokol Local Security Authority (Kebijakan Domain) warisan untuk operasi kata sandi objek domain tepercaya yang dikirim melalui jaringan. Ini berlaku hanya jika enkripsi AES didukung oleh server. Jika enkripsi AES tidak didukung oleh server, sistem akan mengizinkan fallback ke enkripsi RC4 warisan.
Perubahan di PROTOCOL-2022-21913 khusus untuk protokol MS-LSAD. Protokol-protokol itu terpisah dari protokol lain. MS-LSAD menggunakan Blok Pesan Server (SMB) melalui panggilan prosedur jarak jauh
(RPC) dan pipa bernama. Meskipun SMB juga mendukung enkripsi, SMB tidak diaktifkan secara default. Secara default, perubahan di PROTOCOL-2022-21913 diaktifkan dan menyediakan keamanan tambahan di lapisan LSAD. Tidak ada perubahan konfigurasi tambahan yang diperlukan selain menginstal perlindungan untuk pembaruan CONFIGURATION-2022-21913 yang disertakan dalam pembaruan Windows 11 Januari 2022, dan Windows 11 Januari 2022, pembaruan Windows yang lebih baru di semua versi Windows yang didukung. Versi versi uji Windows akan dihentikan atau dimutakhirkan ke versi yang didukung.
Catatan KERBEROS-2022-21913 hanya memodifikasi cara kata sandi kepercayaan dienkripsi saat Anda menggunakan API tertentu dari protokol MS-LSAD dan secara khusus tidak mengubah cara kata sandi disimpan ketika disimpan. Untuk informasi selengkapnya tentang cara enkripsi kata sandi dalam Direktori Aktif dan secara lokal dalam Database SAM (registri), lihat Gambaran umum teknis kata sandi.
Informasi selengkapnya
Perubahan yang dibuat oleh pembaruan 11 Januari 2022
-
Pola Objek Kebijakan
Pembaruan mengubah pola Objek Kebijakan dari protokol dengan menambahkan metode Kebijakan Terbuka baru yang memungkinkan klien dan server untuk berbagi informasi tentang dukungan AES.Metode lama menggunakan RC4
Metode baru menggunakan AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Untuk daftar lengkap aturan protokol MS-LSAR, lihat [MS-LSAD]: AturanPemrosesan Pesan dan Aturan Berurutan.
-
Pola Objek Domain Tepercaya
Pembaruan memodifikasi pola Pembuatan Objek Domain Tepercaya dari protokol dengan menambahkan metode baru untuk membuat kepercayaan yang akan menggunakan AES untuk mengenkripsi data autentikasi.
API LsaCreateTrustedDomainEx sekarang akan lebih memilih metode baru jika klien dan server diperbarui dan kembali ke metode yang lebih lama jika tidak.
Metode lama menggunakan RC4
Metode baru menggunakan AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Pembaruan memodifikasi pola Kumpulan Objek Domain Tepercaya dari protokol dengan menambahkan dua Kelas Informasi Tepercaya yang baru ke metode LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Anda dapat menetapkan informasi Objek Domain Tepercaya sebagai berikut.
Metode lama menggunakan RC4
Metode baru menggunakan AES
LsarSetInformationTrustedDomain (Opnum 27) bersama dengan TrustedDomainAuthInformationInternal atau TrustedDomainFullInformationInternal (menyimpan kata sandi kepercayaan terenkripsi yang menggunakan RC4)
LsarSetInformationTrustedDomain (Opnum 27) bersama dengan TrustedDomainAuthInformationInternalAes atau TrustedDomainFullInformationAes (menyimpan kata sandi kepercayaan terenkripsi yang menggunakan AES)
LsarSetTrustedDomainInfoByName (Opnum 49) bersama dengan TrustedDomainAuthInformationInternal atau TrustedDomainFullInformationInternal (menyimpan kata sandi kepercayaan terenkripsi yang menggunakan RC4 dan semua atribut lainnya)
LsarSetTrustedDomainInfoByName (Opnum 49) bersama dengan TrustedDomainAuthInformationInternalAes atau TrustedDomainFullInformationInternalAes (menyimpan kata sandi kepercayaan terenkripsi yang menggunakan AES dan semua atribut lain)
Cara kerja perilaku baru
Metode LsarOpenPolicy2 yang sudah ada biasanya digunakan untuk membuka gagang konteks ke server RPC. Ini adalah fungsi pertama yang harus dipanggil untuk menghubungi database Protokol Jarak Jauh Otoritas Keamanan Lokal (Kebijakan Domain) Setelah Anda menginstal pembaruan ini, metode LsarOpenPolicy2 menggantikan metode LsarOpenPolicy3 yang baru.
Klien diperbarui yang menghubungi API LsaOpenPolicy sekarang akan menghubungi metode LsarOpenPolicy3 terlebih dahulu. Jika server tidak diperbarui dan tidak menerapkan metode LsarOpenPolicy3, klien akan kembali ke metode LsarOpenPolicy2, dan menggunakan metode sebelumnya yang menggunakan enkripsi RC4.
Server yang diperbarui akan mengembalikan bit baru dalam respons metode LsarOpenPolicy3, seperti yang ditetapkan dalam LSAPR_REVISION_INFO_V1. Untuk informasi selengkapnya, lihat bagian "Penggunaan AES Cipher" dan "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" di MS-LSAD.
Jika server mendukung AES, klien akan menggunakan metode baru dan kelas informasi baru untuk operasi "buat" dan "set" domain tepercaya selanjutnya. Jika server tidak mengembalikan bendera ini, atau jika klien tidak diperbarui, klien akan kembali menggunakan metode sebelumnya yang menggunakan enkripsi RC4.
Pembuatan log kejadian
11 Januari 2022, pembaruan menambahkan kejadian baru pada log kejadian keamanan untuk membantu mengidentifikasi perangkat yang tidak diperbarui, dan untuk membantu meningkatkan keamanan.
|
Nilai |
Arti |
|---|---|
|
Sumber kejadian |
Microsoft-Windows-Security |
|
ID Kejadian |
6425 |
|
Tingkat |
Informasi |
|
Teks pesan acara |
Klien jaringan menggunakan metode RPC warisan untuk mengubah informasi autentikasi pada objek domain tepercaya. Informasi autentikasi dienkripsi dengan algoritma enkripsi warisan. Pertimbangkan untuk memutakhirkan sistem operasi klien atau aplikasi agar menggunakan versi terbaru dan lebih aman dari metode ini. Domain Tepercaya:
Diubah Oleh:
Alamat Jaringan Klien: Untuk informasi selengkapnya, buka https://go.microsoft.com/fwlink/?linkid=2161080. |
Tanya Jawab Umum (Faq)
P1: Skenario apa yang memicu penurunan dari AES ke RC4?
A1: Penurunan tingkat terjadi jika server atau klien tidak mendukung AES.
P2: Bagaimana cara mengetahui apakah enkripsi RC4 atau enkripsi AES dinegosiasikan?
A2: Server yang diperbarui akan mencatat acara 6425 saat metode warisan yang menggunakan RC4 digunakan.
P3: Bisakah saya meminta enkripsi AES di server, dan akan memberlakukan Windows secara terprogram menggunakan AES?
A3: Saat ini tidak ada mode penerapan yang tersedia. Namun, mungkin akan ada di masa mendatang, meskipun tidak ada perubahan tersebut yang dijadwalkan.
P4: Apakah klien pihak ketiga mendukung perlindungan untuk UV-2022-21913 untuk menegosiasikan AES jika didukung oleh server? Apakah saya harus menghubungi Dukungan Microsoft atau tim dukungan pihak ketiga untuk mengatasi pertanyaan ini?
A4: Jika perangkat atau aplikasi pihak ketiga tidak menggunakan protokol MS-LSAD, hal ini tidak penting. Vendor pihak ketiga yang mengimplementasikan protokol MS-LSAD mungkin memilih untuk mengimplementasikan protokol ini. Untuk informasi selengkapnya, hubungi vendor pihak ketiga.
P5: Apakah ada perubahan konfigurasi tambahan yang harus dilakukan?
A5: Perubahan konfigurasi tidak diperlukan.
P6: Apa yang menggunakan protokol ini?
A6: Protokol MS-LSAD digunakan oleh banyak komponen Windows, termasuk Direktori Aktif dan alat seperti Domain Direktori Aktif dan konsol Kepercayaan. Aplikasi juga dapat menggunakan protokol ini melalui API pustaka advapi32, seperti LsaOpenPolicy atau LsaCreateTrustedDomainEx.
