Suvestinė
2022 m. sausio 11 d. "Windows" naujinimai ir vėlesni "Windows" naujinimai įtraukia CVE-2022-21913 apsaugą.
Įdiegus 2022 m. sausio 11 d. "Windows" naujinimus arba naujesnius "Windows" naujinimus, "Advanced Encryption Standard" (AES) šifravimas bus nustatytas kaip pageidaujamas šifravimo metodas "Windows" klientuose, kai naudojate senstelėjusį vietinės saugos institucijos (domeno strategijos) (MS-LSAD) protokolą patikimo domeno objekto slaptažodžio operacijoms, siunčiamoms tinklu. Tai galioja tik tada, jei serveris palaiko AES šifravimą. Jei serveris nepalaiko AES šifravimo, sistema leis grįžti prie senojo RC4 šifravimo.
CVE-2022-21913 pakeitimai yra būdingi MS-LSAD protokolui. Jie nepriklauso nuo kitų protokolų. MS-LSAD naudoja serverio pranešimų bloką (SMB) per nuotolinį procedūros iškvietimą
(RPC) ir pavadinti vamzdžiai. Nors SMB taip pat palaiko šifravimą, jis nėra įgalintas pagal numatytuosius parametrus. Pagal numatytuosius nustatymus CVE-2022-21913 pakeitimai yra įjungti ir suteikia papildomą saugumą LSAD lygmenyje. Nereikia jokių papildomų konfigūracijos keitimų, išskyrus CVE-2022-21913 apsaugos įdiegimą, kuri įtraukta į 2022 m. sausio 11 d. "Windows" naujinimus ir vėlesnius "Windows" naujinimus visose palaikomose "Windows" versijose. Nepalaikomos "Windows" versijos turėtų būti nutrauktos arba atnaujintos į palaikomą versiją.
Pastaba: CVE-2022-21913 modifikuoja tik tai, kaip patikimi slaptažodžiai šifruojami perkeliant, kai naudojate konkrečias MS-LSAD protokolo API, ir konkrečiai nekeičia slaptažodžių saugojimo ramybės būsenoje. Daugiau informacijos apie tai, kaip šifruojami slaptažodžiai "Active Directory" ir vietinėje SAM duomenų bazėje (registre), žr. Slaptažodžių techninė apžvalga.
Daugiau informacijos
Pakeitimai, atlikti iki 2022 m. sausio 11 d. naujinimų
Strategijos objekto šablonas
Naujinimai pakeičia protokolo strategijos objekto šabloną įtraukdami naują atvirosios strategijos metodą, kuris leidžia klientui ir serveriui bendrinti informaciją apie AES palaikymą.
Senas metodas naudojant RC4 Naujas AES naudojimo būdas LsarOpenPolicy2 (opnum 44) LsarOpenPolicy3 (130 versijos) Išsamų MS-LSAR protokolo operacijų nummų sąrašą rasite [MS-LSAD]: Pranešimų apdorojimo įvykiai ir sekos taisyklės.
Patikimo domeno objekto šablonas
Naujinimai modifikuoja patikimo domeno objektą Sukurti protokolo šabloną įtraukiant naują metodą sukurti patikimumą, kuris naudos AES autentifikavimo duomenims šifruoti.
Dabar LsaCreateTrustedDomainEx API pirmenybę teiks naujam metodui, jei klientas ir serveris bus atnaujinti, o priešingu atveju grįžta prie senesnio metodo.Senas metodas naudojant RC4 Naujas AES naudojimo būdas LsarCreateTrustedDomainEx2 (59 versijos) LsarCreateTrustedDomainEx3 (129 versijos) Naujinimai modifikuoja protokolo patikimo domeno objektų rinkinio modelį, įtraukdami dvi naujas patikimos informacijos klases į LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49) metodus. Galite nustatyti patikimo domeno objekto informaciją taip, kaip nurodyta toliau.
Senas metodas naudojant RC4 Naujas AES naudojimo būdas LsarSetInformationTrustedDomain (opnum 27) kartu su TrustedDomainAuthInformationInternal arba TrustedDomainFullInformationInternal (turi užšifruotą patikimą slaptažodį, naudojantį RC4) LsarSetInformationTrustedDomain (Opnum 27) kartu su TrustedDomainAuthInformationInternalAes arba TrustedDomainFullInformationAes (turi užšifruotą patikimą slaptažodį, kuris naudoja AES) LsarSetTrustedDomainInfoByName (operacijos nr 49) kartu su TrustedDomainAuthInformationInternal arba TrustedDomainFullInformationInternal (turi užšifruotą patikimą slaptažodį, naudojantį RC4 ir visus kitus atributus) LsarSetTrustedDomainInfoByName (operacijos nr 49) kartu su TrustedDomainAuthInformationInternalAes arba TrustedDomainFullInformationInternalAes (turi šifruotą patikimą slaptažodį, kuris naudoja AES ir visus kitus atributus)
Kaip veikia naujas veikimo būdas
Esamas metodas LsarOpenPolicy2 paprastai naudojamas norint atidaryti konteksto rankenėlę RPC serveryje. Tai pirmoji funkcija, kurią reikia iškviesti norint susisiekti su vietinės saugos institucijos (domeno strategijos) nuotolinio protokolo duomenų baze. Įdiegus šiuos naujinimus, metodas LsarOpenPolicy2 pakeičiamas naujuoju metodu LsarOpenPolicy3.
Atnaujintas klientas, iškviečiantis LsaOpenPolicy API, dabar pirmiausia iškvies metodą LsarOpenPolicy3. Jei serveris neatnaujinamas ir neįdiegia metodo LsarOpenPolicy3, klientas grįžta prie metodo LsarOpenPolicy2 ir naudoja ankstesnius metodus, naudojančius RC4 šifravimą.
Atnaujintas serveris pateiks naują bitą LsarOpenPolicy3 metodo atsakyme, kaip apibrėžta LSAPR_REVISION_INFO_V1. Daugiau informacijos žr. MS-LSAD skyriuose "AES šifro naudojimas" ir "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES".
Jei serveris palaiko AES, klientas naudos naujus metodus ir naujas informacijos klases tolesnėms patikimo domeno operacijoms "kurti" ir "nustatyti". Jei serveris šios žymės nepateikia arba jei klientas neatnaujinamas, klientas grįš ir naudos ankstesnius RC4 šifravimo metodus.
Įvykių registravimas
2022 m. sausio 11 d. naujinimai įtraukia naują įvykį į saugos įvykių žurnalą, kad būtų lengviau identifikuoti neatnaujintus įrenginius ir pagerinti saugą.
| Reikšmė | Reikšmė |
|---|---|
| Įvykio šaltinis | „Microsoft“-Windows-Security |
| Įvykio ID | 6425 |
| Lygis | Informacija |
| Įvykio pranešimo tekstas | Tinklo klientas naudojo senstelėjusį RPC metodą patikimo domeno objekto autentifikavimo informacijai modifikuoti. Autentifikavimo informacija buvo užšifruota naudojant senstelėjusį šifravimo algoritmą. Apsvarstykite galimybę atnaujinti kliento operacinę sistemą arba programą naudoti naujausią ir saugesnę šio metodo versiją. Patikimas domenas:
RPC metodo pavadinimas: Daugiau informacijos rasite https://go.microsoft.com/fwlink/?linkid=2161080. |
Dažnai užduodami klausimai (DUK)
1 kl.: Kokie scenarijai sukelia AES sumažinimą į RC4?
1 ats.: Ankstesnė versija įvyksta, jei serveris arba klientas nepalaiko AES.
2 klausimas: Kaip sužinoti, ar buvo deramasi dėl RC4 ar AES šifravimo?
2 langelis: Atnaujinti serveriai registruos įvykį 6425, kai bus naudojami senstelėję metodai, naudojantys RC4.
3 kl.: Ar galiu reikalauti AES šifravimo serveryje ir ar būsimi "Windows" naujinimai bus programiškai įgalinti naudojant AES?
3 ats.: Šiuo metu nėra vykdymo režimo. Tačiau ateityje jų gali būti, nors tokie pokyčiai nėra numatyti.
4 kl.: Ar trečiųjų šalių klientai palaiko CVE-2022-21913 apsaugą, kad būtų galima derėtis dėl AES, kai ją palaiko serveris? Ar turėčiau kreiptis į "Microsoft" palaikymo tarnybą ar trečiosios šalies palaikymo komandą, kad atsakyčiau į šį klausimą?
4 ats.: Jei trečiosios šalies įrenginys ar programa nenaudoja MS-LSAD protokolo, tai nėra svarbu. Trečiųjų šalių tiekėjai, kurie įgyvendina MS-LSAD protokolą, gali nuspręsti įdiegti šį protokolą. Norėdami gauti daugiau informacijos, susisiekite su trečiosios šalies tiekėju.
5 kl.: Ar reikia atlikti papildomų konfigūracijos pakeitimų?
5 ats.: Nereikia jokių papildomų konfigūracijos keitimų.
6 kl.: Kas naudoja šį protokolą?
6 ats.: MS-LSAD protokolą naudoja daugelis "Windows" komponentų, įskaitant "Active Directory" ir įrankius, pvz., "Active Directory" domenus ir patikimų fondų konsolę. Programos taip pat gali naudoti šį protokolą per advapi32 bibliotekos API, pvz., LsaOpenPolicy arba LsaCreateTrustedDomainEx.