Pakeitimų žurnalas
|
1 pakeitimas: 2023 m. birželio 19 d.:
|
Šiame straipsnyje
Suvestinė
"Windows" naujinimai, išleisti 2022 m. lapkričio 8 d. arba vėliau, skirti saugos apėjimas ir didesnių teisių pažeidžiamumas su autentifikavimo derybomis naudojant silpnas RC4-HMAC derybas.
Šis naujinimas nustatys AES kaip numatytąjį šifravimo tipą seansų raktams paskyrose, kurios dar nepažymėtos numatytuoju šifravimo tipu.
Norėdami apsaugoti aplinką, įdiekite "Windows" naujinimus, išleistus 2022 m. lapkričio 8 d. arba vėliau, visuose įrenginiuose, įskaitant domeno valdiklius. Žr. 1 pakeitimas.
Norėdami sužinoti daugiau apie šiuos pažeidžiamumą, žr. CVE-2022-37966.
Aiškus seanso rakto šifravimo tipų nustatymas
Jūsų vartotojų paskyrose gali būti aiškiai apibrėžti šifravimo tipai, kuriuos gali pažeisti CVE-2022-37966. Ieškokite paskyrų, kuriose DES / RC4 yra aiškiai įgalintas, bet ne AES naudojant šią "Active Directory" užklausą:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Registro rakto parametrai
Įdiegus "Windows" naujinimus, išleistus 2022 m. lapkričio 8 d. arba vėliau, galimas toliau nurodytas "Kerberos" protokolo registro raktas:
DefaultDomainSupportedEncTypes
|
Registro raktas |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Reikšmė |
DefaultDomainSupportedEncTypes |
|
Duomenų tipas |
REG_DWORD |
|
Duomenų reikšmė |
0x27 (numatytasis) |
|
Reikia paleisti iš naujo? |
Ne |
Pastaba Jei turite pakeisti "Active Directory" vartotojo arba kompiuterio numatytąjį palaikomą šifravimo tipą, įtraukite rankiniu būdu ir sukonfigūruokite registro raktą, kad nustatytumėte naują palaikomą šifravimo tipą. Šis naujinimas automatiškai neįtraukia registro rakto.
"Windows" domeno valdikliai šią reikšmę naudoja nustatyti palaikomus šifravimo tipus "Active Directory" paskyrose, kurių msds-SupportedEncryptionType reikšmė yra tuščia arba nenustatyta. Kompiuteris, kuriame veikia palaikoma "Windows" operacinės sistemos versija, automatiškai nustato to kompiuterio paskyros msds-SupportedEncryptionTypes "Active Directory". Tai pagrįsta konfigūruota šifravimo tipų, kuriuos leidžiama naudoti "Kerberos" protokolui, reikšme. Daugiau informacijos žr . Tinklo sauga: Leidžiamų "Kerberos" šifravimo tipų konfigūravimas.
Vartotojų paskyrose, grupės valdomų tarnybų paskyrose ir kitose "Active Directory" paskyrose nėra automatiškai nustatytos msds-SupportedEncryptionTypes reikšmės.
Norėdami rasti palaikomus šifravimo tipus, kuriuos galite nustatyti rankiniu būdu, žr. Palaikomų šifravimo tipų bitų žymės. Norėdami gauti daugiau informacijos, peržiūrėkite, ką pirmiausia turėtumėte daryti, kad padėtumėte parengti aplinką ir išvengti "Kerberos" autentifikavimo problemų.
Numatytoji reikšmė 0x27 (DES, RC4, AES seanso raktai) buvo pasirinkta kaip minimalus pakeitimas, būtinas šiam saugos naujinimui. Rekomenduojame klientams nustatyti 0x3C reikšmę, kad būtų padidinta sauga, nes ši reikšmė leis ir AES užšifruotus kvitus, ir AES seanso raktus. Jei klientai vadovavosi mūsų nurodymais pereiti prie tik AES aplinkoje, kurioje RC4 nenaudojamas "Kerberos" protokolui, rekomenduojame klientams nustatyti reikšmę į 0x38. Žr. 1 pakeitimas.
"Windows" įvykiai, susiję su CVE-2022-37966
"Kerberos" rakto paskirstymo centre trūksta sudėtingų paskyros raktų
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Klaida |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
42 |
|
Įvykio tekstas |
"Kerberos" rakto paskirstymo centre trūksta sudėtingų paskyros: accountname raktų. Turite atnaujinti šios paskyros slaptažodį, kad išvengtumėte nesaugaus kriptografijos naudojimo. Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2210019. |
Jei pastebėsite šią klaidą, tikriausiai turite iš naujo nustatyti krbtgt slaptažodį prieš nustatydami KrbtgtFullPacSingature = 3 arba įdiegti "Windows Naujinimai" išleistą 2023 m. liepos 11 d. arba vėliau. Naujinimas, kuris programiškai įgalina vykdymo režimą CVE-2022-37967 yra dokumentuotas šiame "Microsoft" žinių bazės straipsnyje:
KB5020805: Kaip valdyti "Kerberos" protokolo pakeitimus, susijusius su CVE-2022-37967
Daugiau informacijos, kaip tai padaryti, žr. New-KrbtgtKeys.ps1 temą "GitHub" svetainėje.
Dažnai užduodami klausimai (DUK) ir žinomos problemos
Paskyros, pažymėtos kaip skirtos tiksliam RC4 naudojimui, yra pažeidžiamos. Be to, aplinkos, kuriose nėra AES seansų raktų krbgt paskyroje, gali būti pažeidžiamos. Norėdami išspręsti šią problemą, vykdykite nurodymus, kaip nustatyti pažeidžiamumus ir naudoti registro rakto parametrų skyrių, kad būtų galima aiškiai nustatyti šifravimo numatytąsias reikšmes.
Turėsite patikrinti, ar visi jūsų įrenginiai turi bendrą "Kerberos" šifravimo tipą. Daugiau informacijos apie "Kerberos" šifravimo tipus žr. Palaikomų "Kerberos" šifravimo tipų iššifravimas.
Aplinkos be įprasto "Kerberos" šifravimo tipo galėjo anksčiau veikti dėl automatinio RC4 įtraukimo arba AES įtraukimo, jei domeno valdikliai išjungė RC4 pagal grupės strategiją. Ši elgsena pasikeitė 2022 m. lapkričio 8 d. arba vėliau išleistais naujinimais ir dabar griežtai seks registro raktuose, msds-SupportedEncryptionTypes ir DefaultDomainSupportedEncTypes nustatytus dalykus.
Jei paskyroje nėra msds-SupportedEncryptionTypes rinkinio arba jis nustatytas kaip 0, domeno valdikliai priima numatytąją reikšmę 0x27 (39) arba domeno valdiklis naudos registro rakto DefaultDomainSupportedEncTypes parametrą.
Jei paskyroje nustatytas msds-SupportedEncryptionTypes , šis parametras yra nustatytas ir gali kilti triktis sukonfigūravus bendrą "Kerberos" šifravimo tipą, užmaskuotą ankstesniu automatiškai įtraukiant RC4 arba AES, o tai nebėra veikimas įdiegus naujinimus, išleistus 2022 m. lapkričio 8 d. arba vėliau.
Informacijos, kaip patikrinti, ar turite bendrą "Kerberos" šifravimo tipą, žr. klausimą Kaip patikrinti, ar visi mano įrenginiai turi bendrą "Kerberos" šifravimo tipą?
Peržiūrėkite ankstesnį klausimą, jei reikia daugiau informacijos, kodėl įdiegus 2022 m. lapkričio 8 d. arba vėliau išleistus naujinimus jūsų įrenginiai gali neturėti įprasto "Kerberos" šifravimo tipo.
Jei jau įdiegėte naujinimus, išleistus 2022 m. lapkričio 8 d. arba vėliau, galite aptikti įrenginius, kuriuose nėra įprasto "Kerberos" šifravimo tipo, peržiūrėję "Microsoft-Windows-Kerberos-Key-Distribution-Center" 27 įvykio įvykių žurnale, kuriame nurodyti "Kerberos" klientų ir nuotolinių serverių ar tarnybų nejungimo šifravimo tipai.
2022 m. lapkričio 8 d. arba vėliau klientuose arba ne domeno valdiklio vaidmenų serveriuose išleistų naujinimų diegimas neturėtų paveikti "Kerberos" autentifikavimo jūsų aplinkoje.
Norėdami išspręsti šią žinomą problemą, atidarykite komandinės eilutės langą administratoriaus teisėmis ir laikinai naudokite šią komandą, kad nustatytumėte registro raktą KrbtgtFullPacSignature į 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Pastaba Kai ši žinoma problema bus išspręsta, turėtumėte nustatyti KrbtgtFullPacSignature į didesnį parametrą, atsižvelgiant į tai, ką leis jūsų aplinka. Rekomenduojame įgalinti vykdymo režimą, kai tik jūsų aplinka bus paruošta.
Kiti veiksmaiStengiamės rasti sprendimą ir pateiksime naujinimą būsimame leidime.
Įdiegus naujinimus, išleistus 2022 m. lapkričio 8 d. arba vėliau jūsų domeno valdikliuose, visi įrenginiai turi palaikyti AES kvito pasirašymą, kaip reikalaujama, kad būtų suderinamas su saugos stiprinimu, kurio reikia CVE-2022-37967.
Kiti veiksmai Jei jau naudojate naujausią programinę įrangą ir programinę-aparatinę įrangą ne "Windows" įrenginiuose ir patvirtinote, kad tarp "Windows" domeno valdiklių ir ne "Windows" įrenginių yra įprastas šifravimo tipas, pagalbos kreipkitės į įrenginio gamintoją (OĮG) arba pakeiskite įrenginius suderinamais.
SVARBU Nerekomenduojame naudoti jokio sprendimo, kad būtų leidžiama autentifikuoti nesuderinamus įrenginius, nes dėl to jūsų aplinka gali tapti pažeidžiama.
Nepalaikomos "Windows" versijos, įskaitant "Windows XP", "Windows Server 2003", "Windows Server 2008 SP2" ir "Windows Server 2008 R2" SP1, negali būti pasiekiamos naudojant atnaujintus "Windows" įrenginius, nebent turite ESU licenciją. Jei turite ESU licenciją, turėsite įdiegti naujinimus, išleistus 2022 m. lapkričio 8 d. arba vėliau, ir patikrinti, ar jūsų konfigūracija turi bendrą šifravimo tipą, pasiekiamą visuose įrenginiuose.
Kiti veiksmai Įdiekite naujinimus, jei jie galimi jūsų "Windows" versijai ir turite taikomą ESU licenciją. Jei naujinimų nėra, turėsite atnaujinti į palaikomą "Windows" versiją arba perkelti bet kurią programą ar tarnybą į suderinamą įrenginį.
SVARBU Nerekomenduojame naudoti jokio sprendimo, kad būtų leidžiama autentifikuoti nesuderinamus įrenginius, nes dėl to jūsų aplinka gali tapti pažeidžiama.
Ši žinoma problema buvo išspręsta ne juostos naujinimuose, išleistuose 2022 m. lapkričio 17 d. ir 2022 m. lapkričio 18 d. diegiant visuose domeno valdikliuose jūsų aplinkoje. Kad išspręstumėte šią problemą, jums nereikia diegti jokio naujinimo arba atlikti jokių kitų serverių ar kliento įrenginių keitimų savo aplinkoje. Jei dėl šios problemos naudojote bet kokį problemos sprendimą ar mažinimą, jie nebereikalingi, todėl rekomenduojame juos pašalinti.
Norėdami gauti atskirą šių ne juostos naujinimų paketą, ieškokite KB numerio "Microsoft Update" kataloge. Galite rankiniu būdu importuoti šiuos naujinimus į "Windows Server Update Services" (WSUS) ir "Microsoft" galinio punkto Configuration Manager. WSUS instrukcijas rasite WSUS ir katalogo svetainėje. Konfigūracijos instrukcijas žr. Naujinimų importavimas iš "Microsoft Update" katalogo.
Pastaba Šių naujinimų iš "Windows Update" nėra ir jie nebus įdiegti automatiškai.
Kaupiamieji naujinimai:
Pastaba Prieš diegiant šiuos kaupiamuosius naujinimus nereikia taikyti jokių ankstesnių naujinimų. Jei jau įdiegėte naujinimus, išleistus 2022 m. lapkričio 8 d., prieš diegiant bet kokius vėlesnius naujinimus, įskaitant anksčiau nurodytus naujinimus, nereikia pašalinti paveiktų naujinimų.
Atskiras Naujinimai:
-
"Windows Server 2012 R2": KB5021653
-
"Windows Server 2012": KB5021652
-
"Windows Server 2008 R2 SP1": KB5021651 (išleista 2022 m. lapkričio 18 d.)
-
"Windows Server 2008 SP2": KB5021657
Pastabos
-
Jei naudojate tik saugos naujinimus šioms "Windows Server" versijoms, šiuos atskirus naujinimus turite įdiegti tik 2022 m. lapkričio mėnesį. Tik saugos naujinimai nėra kaupiamieji, todėl taip pat turėsite įdiegti visus ankstesnius tik saugos naujinimus, kad jie būtų visiškai atnaujinti. Mėnesio naujinimų paketo naujinimai yra kaupiamieji ir apima saugos ir visus kokybinius naujinimus.
-
Jei naudojate mėnesio naujinimų paketą, jums reikės įdiegti abu anksčiau nurodytus atskirus naujinimus, kad išspręstumėte šią problemą, ir įdiegti mėnesio naujinimų paketus, išleistus 2022 m. lapkričio 8 d., kad gautumėte 2022 m. lapkričio mėn. kokybinius naujinimus. Jei jau įdiegėte naujinimus, išleistus 2022 m. lapkričio 8 d., prieš diegiant bet kokius vėlesnius naujinimus, įskaitant anksčiau nurodytus naujinimus, nereikia pašalinti paveiktų naujinimų.
Jei patikrinote savo aplinkos konfigūraciją ir vis tiek kyla problemų dėl ne "Microsoft" "Kerberos" diegimo, jums reikės programėlės arba įrenginio kūrėjo ar gamintojo naujinimų arba palaikymo.
Šią žinomą problemą galima sumažinti atliekant vieną iš šių veiksmų:
-
Nustatykite msds-SupportedEncryptionTypes bitais arba nustatykite į dabartinį numatytąjį 0x27 , kad išsaugotumėte dabartinę reikšmę. Toliau pateikiami keli pavyzdžiai.
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Nustatykite msds-SupportEncryptionTypes reikšmę 0 , kad domeno valdikliai naudotų numatytąją 0x27 reikšmę.
Kiti veiksmaiStengiamės rasti sprendimą ir pateiksime naujinimą būsimame leidime.
Žodynėlis
Išplėstinis šifravimo standartas (AES) yra bloko šifravimo standartas, pakeičiantis Duomenų šifravimo standartą (DES). AES gali būti naudojama elektroniniams duomenims apsaugoti. AES algoritmas gali būti naudojamas šifruoti (užšifruoti) ir iššifruoti (iššifruoti) informaciją. Šifravimas konvertuoja duomenis į neįskaitomą formą, vadinamą šifravimo tekstu; šifro tekstas iššifruoja duomenis atgal į pradinę formą, vadinamą paprastuoju tekstu. AES naudojamas simetrinio rakto kriptografijai, tai reiškia, kad tas pats raktas naudojamas šifravimo ir iššifravimo operacijoms atlikti. Tai taip pat yra bloko šifras, tai reiškia, kad jis veikia fiksuoto dydžio paprastojo teksto ir šifroteksto blokuose ir reikalauja, kad paprastojo teksto bei šifro tekstas būtų tikslus šio bloko dydžio kartotinis. AES taip pat žinomas kaip Rijndael simetrinio šifravimo algoritmas [FIPS197].
"Kerberos" yra kompiuterio tinklo autentifikavimo protokolas, kuris veikia pagal "kvitus", leidžiančius mazgams palaikyti ryšį per tinklą, kad būtų galima saugiai vienas kitam įrodyti savo tapatybę.
"Kerberos" tarnyba, kuri vykdo autentifikavimo ir bilietų teikimo tarnybas, nurodytas Kerberos protokole. Tarnyba veikia srities ar domeno administratoriaus pasirinktuose kompiuteriuose; jos nėra kiekviename tinklo kompiuteryje. Ji privalo turėti prieigą prie paskyros duomenų bazės, kad galėtų ją naudoti. KDCs yra integruoti į domeno valdiklio vaidmenį. Tai tinklo paslauga, teikianti bilietus klientams naudoti autentifikuojant paslaugas.
RC4-HMAC (RC4) yra kintamojo rakto ilgio simetrinis šifravimo algoritmas. Daugiau informacijos žr. [SCHNEIER] 17.1 skyriuje.
Santykinai trumpalaikis simetrinis raktas (šifravimo raktas, dėl kurio derasi klientas ir serveris naudodamas bendrą slaptą informaciją). Seansų raktų trukmę riboja seansas, su kuriuo jis susietas. Seanso raktas turi būti pakankamai stiprus, kad išlaikytų kriptanolizę seanso metu.
Specialus bilieto tipas, kurį galima naudoti norint gauti kitus kvitus. Kvito išdavimo kvitas (TGT) gaunamas po pradinio autentifikavimo autentifikavimo tarnyboje (AS); po to vartotojams nereikia pateikti savo kredencialų, tačiau jie gali naudoti TGT, kad gautų paskesnius kvitus.
