Suvestinė
2022 m. sausio 11 d. Windows ir vėlesni Windows naujinimai įtraukia CVE-2022-21913 apsaugą.
Įdiegus 2022 m. sausio 11 d. "Windows" naujinimus arba naujesnius "Windows" naujinimus, išplėstinio šifravimo standarto (AES) šifravimas bus nustatytas kaip pageidaujamas šifravimo metodas "Windows" klientams, kai naudojate senstelėjusios vietinės saugos institucijos (domeno strategijos) (MS-LSAD) protokolą patikimo domeno objekto slaptažodžio operacijoms, siunčiamoms tinklu. Taip yra tik tuo atveju, jei serveris palaiko AES šifravimą. Jei serveris nepalaiko AES šifravimo, sistema leis grįžti prie senstelėjusio RC4 šifravimo.
CVE-2022-21913 pakeitimai yra specifiniai MS-LSAD protokolui. Jie nepriklauso nuo kitų protokolų. MS-LSAD naudoja serverio pranešimų bloką (SMB) per nuotolinį procedūros skambutį
(RPC) ir įvardytuosius kanalus. Nors SMB taip pat palaiko šifravimą, pagal numatytuosius nustatymus jis neįgalintas. Pagal numatytuosius nustatymus CVE-2022-21913 pakeitimai įgalinami ir suteikia papildomą saugą LSAD lygyje. Nereikia atlikti jokių papildomų konfigūracijos pakeitimų, ne tik diegiant CVE-2022-21913 apsaugą, įtrauktą į 2022 m. sausio 11 d., "Windows" naujinimus ir vėlesnius "Windows" naujinimus visose palaikomose "Windows" versijose. Nepalaikomos "Windows versijos turėtų būti nutrauktos arba modernizuotos į palaikomą versiją.
Pastaba CVE-2022-21913 modifikuoja tik tai, kaip patikimi slaptažodžiai šifruojami transportuojant, kai naudojate konkrečias MS-LSAD protokolo API ir konkrečiai nekeičia, kaip slaptažodžiai saugomi poilsyje. Daugiau informacijos apie tai, kaip slaptažodžiai užšifruojami "Active Directory" ir vietoje SAM duomenų bazėje (registre), žr. Slaptažodžių techninė apžvalga.
Daugiau informacijos
Pakeitimai, atlikti iki 2022 m. sausio 11 d., naujinimai
-
Strategijos objekto šablonas
Naujinimai modifikuoja protokolo strategijos objekto modelį įtraukdami naują atviros strategijos metodą, kuris leidžia klientui ir serveriui bendrinti informaciją apie AES palaikymą.Senasis metodas naudojant RC4
Naujas metodas naudojant AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Visą MS-LSAR protokolo opnums sąrašą žr. [MS-LSAD]:Pranešimų apdorojimo įvykiai ir sekos taisyklės .
-
Patikimo domeno objekto šablonas
Naujinimai modifikuoja patikimo domeno objektą Protokolo kūrimo modelį įtraukdami naują metodą, kad sukurtumėte pasitikėjimą, kuris naudos AES autentifikavimo duomenims šifruoti.
LsaCreateTrustedDomainEx API dabar norės taikyti naują metodą, jei klientas ir serveris bus atnaujinti ir grįžtų prie senesnio būdo.
Senasis metodas naudojant RC4
Naujas metodas naudojant AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Naujinimai modifikuoja protokolo patikimų domeno objektų rinkinio modelį įtraukdami dvi naujas patikimos informacijos klases į "LsarSetInformationTrustedDomain" ("Opnum 27"), "LsarSetTrustedDomainInfoByName" ("Opnum 49") metodus. Patikimo domeno objekto informaciją galite nustatyti taip:
Senasis metodas naudojant RC4
Naujas metodas naudojant AES
LsarSetInformationTrustedDomain (Opnum 27) kartu su TrustedDomainAuthInformationInternal arbaTrustedDomainFullInformationInternal (turi šifruotą patikimumo slaptažodį, kuris naudoja RC4)
LsarSetInformationTrustedDomain (Opnum 27) kartu su TrustedDomainAuthInformationInternalAes arba TrustedDomainFullInformationAes (turi šifruotą patikimumo slaptažodį, kuris naudoja AES)
LsarSetTrustedDomainInfoByName (Opnum 49) kartu su TrustedDomainAuthInformationInternal arbaTrustedDomainFullInformationInternal (turi užšifruotą patikimumo slaptažodį, kuris naudoja RC4 ir visus kitus atributus)
LsarSetTrustedDomainInfoByName (Opnum 49) kartu su TrustedDomainAuthInformationInternalAes arba TrustedDomainFullInformationInternalAes (turi šifruotą patikimumo slaptažodį, kuris naudoja AES ir visus kitus atributus)
Kaip veikia naujas veikimas
Esamas "LsarOpenPolicy2" metodas paprastai naudojamas norint atidaryti konteksto rankenėlę Į RPC serverį. Tai pirmoji funkcija, kurią reikia iškviesti norint susisiekti su vietinio saugos institucijos (domeno strategijos) nuotolinio protokolo duomenų baze. Įdiegus šiuos naujinimus, "LsarOpenPolicy2" metodas pakeičiamas nauju "LsarOpenPolicy3" metodu.
Atnaujintas klientas, kuris iškies LsaOpenPolicy API, pirmiausia paskambins "LsarOpenPolicy3" metodui. Jei serveris neatnaujinamas ir neįgyvendinamas "LsarOpenPolicy3" metodas, klientas grįžta prie "LsarOpenPolicy2" metodo ir naudoja ankstesnius metodus, kurie naudoja RC4 šifravimą.
Atnaujintas serveris grąžins naują bitą "LsarOpenPolicy3" metodo atsakyme, kaip apibrėžta LSAPR_REVISION_INFO_V1. Daugiau informacijos ieškokite MS-LSADskyriuose "AES šifro naudojimas" LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES".
Jei serveris palaiko AES, klientas naudos naujus metodus ir naujos informacijos klases vėlesniems patikimiems domenams "kurti" ir "nustatyti". Jei serveris negrąžina šios vėliavėlės arba klientas neatnaujinamas, klientas vėl naudos ankstesnius metodus, kurie naudoja RC4 šifravimą.
Įvykių registravimas
2022 m. sausio 11 d. naujinimai įtraukia naują įvykį į saugos įvykių žurnalą, kad padėtų identifikuoti nenaujinamas priemones ir pagerinti saugą.
Reikšmė |
Reikšmė |
---|---|
Įvykio šaltinis |
"Microsoft-Windows-Security" |
Įvykio ID |
6425 |
Lygis |
Informacija |
Įvykio pranešimo tekstas |
Tinklo klientas naudojo senstelėjusį RPC metodą, kad pakeistų patikimo domeno objekto autentifikavimo informaciją. Autentifikavimo informacija buvo užšifruota naudojant senstelėjusį šifravimo algoritmą. Apsvarstykite galimybę atnaujinti kliento operacinę sistemą arba taikomąją programą, kad būtų galima naudoti naujausią ir saugesnę šio metodo versiją. Patikimas domenas:
Modifikavo:
Kliento tinklo adresas: Norėdami gauti daugiau informacijos, eikite į https://go.microsoft.com/fwlink/?linkid=2161080. |
Dažnai užduodami klausimai (DUK)
1 K. Kokie scenarijai paleidžia AES į RC4 žemesnę versiją?
A1: Jei serveris arba klientas nepalaiko AES, įvyksta ankstesnės versijos diegimas.
2 K. Kaip sužinoti, ar buvo deramasi dėl RC4 šifravimo ar AES šifravimo?
A2: Atnaujinti serveriai priregistruos įvykį 6425, kai naudojami senstelėję metodai, naudojantys RC4.
3 K: ar galiu reikalauti AES šifravimo serveryje ir ateityje Windows programiškai įgalinti naudojant AES?
A3: Šiuo metu nėra vykdymo režimo. Tačiau ateityje gali būti, nors toks keitimas nėra suplanuotas.
4 K. Ar trečiųjų šalių klientai palaiko CVE-2022-21913 apsaugą, kad būtų galima derėtis dėl AES, kai palaiko serveris? Ar turėčiau kreiptis į "Microsoft" palaikymo tarnybą arba trečiosios šalies palaikymo komandą, kad išsiųstų šį klausimą?
A4: Jei trečiosios šalies įrenginys arba programa nenaudoja MS-LSAD protokolo, tai nėra svarbu. Trečiųjų šalių tiekėjai, kurie įgyvendina MS-LSAD protokolą, gali pasirinkti įgyvendinti šį protokolą. Jei reikia daugiau informacijos, kreipkitės į trečiosios šalies tiekėją.
5 K. Ar reikia atlikti papildomų konfigūracijos pakeitimų?
A5: Nereikia atlikti jokių papildomų konfigūracijos keitimų.
6 K. Kas naudoja šį protokolą?
A6: MS-LSAD protokolą naudoja daugelis "Windows komponentų, įskaitant "Active Directory" ir įrankius, pvz., "Active Directory" domenų ir patikimumo konsolę. Taikomosios programos taip pat gali naudoti šį protokolą per advapi32 bibliotekos API, pvz., LsaOpenPolicy arba LsaCreateTrustedDomainEx.