Kopsavilkums
2022. gada 11. janvāra Windows atjauninājumi un jaunākie Windows atjauninājumi pievieno aizsardzību CVE-2022-21913.
Pēc 2022. gada 11. janvāra, Windows atjauninājumu vai jaunāku Windows atjauninājumu instalēšanas Advanced Encryption Standard (AES) šifrēšana tiks iestatīta kā vēlamā šifrēšanas metode Windows klientiem, kad izmantosit mantoto lokālās drošības iestādes (domēna politikas) (MS-LSAD) protokolu uzticamo domēnu objektu paroles operācijām, kas tiek sūtītas, izmantojot tīklu. Tas ir taisnība tikai tad, ja serveris atbalsta AES šifrēšanu. Ja serveris neatbalsta AES šifrēšanu, sistēma atļaus atkāpties pie mantotās RC4 šifrēšanas.
CVE-2022-21913 izmaiņas attiecas uz MS-LSAD protokolu. Tie ir neatkarīgi no citiem protokoliem. MS-LSAD izmanto servera ziņojumu bloku (SMB) attālās procedūras izsaukumam
(RPC) un nosauktās caurules. SMB atbalsta arī šifrēšanu, tomēr pēc noklusējuma tā nav iespējota. Pēc noklusējuma izmaiņas CVE-2022-21913 ir iespējotas un nodrošina papildu drošību LSAD slānī. Nav nepieciešamas papildu konfigurācijas izmaiņas, izņemot CVE-2022-21913 aizsardzības instalēšanu, kas ir iekļauta 2022. gada 11. janvāra Windows atjauninājumos un vēlākos Windows atjauninājumos visās atbalstītajās Windows versijās. Neatbalstīto Windows versiju lietošana ir jāpārtrauc vai jājaunina uz atbalstītu versiju.
PiezīmeCVE-2022-21913 modificē tikai to, kā uzticamas paroles tiek šifrētas pārsūtīšanas laikā, kad izmantojat konkrētus MS-LSAD protokola API, UN ĪPAŠI NEMODIFICĒ PAROĻU GLABĀŠANU DĪKSTĀVĒ. Papildinformāciju par paroļu šifrēšanu, atrodoties Active Directory un lokāli SAM datu bāzē (reģistrā), skatiet sadaļā Paroļu tehniskais pārskats.
Papildinformācija
Izmaiņas, kas veiktas ar 2022. gada 11. janvāra atjauninājumiem
Policy Object pattern
Atjauninājumi modificē protokola politikas objekta modeli, pievienojot jaunu atvērtās politikas metodi, kas ļauj klientam un serverim koplietot informāciju par AES atbalstu.
Vecā metode, izmantojot RC4 Jauna metode, izmantojot AES LsarOpenPolicy2 (44. attēls) LsarOpenPolicy3 (Opnum 130) Pilnu MS-LSAR protokola opnum sarakstu skatiet sadaļā [MS-LSAD]: Ziņojumu apstrādes notikumi un secības kārtulas.
Uzticama domēna objekta modelis
Atjauninājumi modificē uzticamo domēna objektu Izveidot protokola modeli, pievienojot jaunu metodi, lai izveidotu uzticamību, kas izmantos AES autentifikācijas datu šifrēšanai.
Tagad LsaCreateTrustedDomainEx API dos priekšroku jaunajai metodei, ja gan klients, gan serveris ir atjaunināti, un pretējā gadījumā atgriezīsies pie vecākās metodes.Vecā metode, izmantojot RC4 Jauna metode, izmantojot AES LsarCreateTrustedDomainEx2 (59. attēls) LsarCreateTrustedDomainEx3 (Opnum 129) Atjauninājumi modificē protokola uzticamo domēnu objektu kopas modeli, pievienojot divas jaunas uzticamas informācijas klases LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49) metodēm. Tālāk norādītajā veidā varat iestatīt uzticama domēna objekta informāciju.
Vecā metode, izmantojot RC4 Jauna metode, izmantojot AES LsarSetInformationTrustedDomain (Opnum 27) kopā ar TrustedDomainAuthInformationInternal vai TrustedDomainFullInformationInternal (satur šifrētu uzticamības paroli, kas izmanto RC4) LsarSetInformationTrustedDomain (Opnum 27) kopā ar TrustedDomainAuthInformationInternalAes vai TrustedDomainFullInformationAes (satur šifrētu uzticamības paroli, kas izmanto AES) LsarSetTrustedDomainInfoByName (Opnum 49) kopā ar TrustedDomainAuthInformationInternal vai TrustedDomainFullInformationInternal (satur šifrētu uzticamības paroli, kas izmanto RC4 un visus pārējos atribūtus) LsarSetTrustedDomainInfoByName (Opnum 49) kopā ar TrustedDomainAuthInformationInternalAes vai TrustedDomainFullInformationInternalAes (satur šifrētu uzticamības paroli, kas izmanto AES un visus citus atribūtus)
Kā darbojas jaunā darbība
Esošā LsarOpenPolicy2 metode parasti tiek izmantota, lai atvērtu konteksta turi RPC serverī. Šī ir pirmā funkcija, kas jāizsauc , lai sazinātos ar lokālās drošības iestādes (domēna politikas) attālā protokola datu bāzi. Pēc šo atjauninājumu instalēšanas metode LsarOpenPolicy2 tiek aizstāta ar jauno metodi LsarOpenPolicy3.
Atjaunināts klients, kas izsauc LsaOpenPolicy API, tagad vispirms izsauc metodi LsarOpenPolicy3. Ja serveris netiek atjaunināts un neievieš metodi LsarOpenPolicy3, klients atgriežas pie metodes LsarOpenPolicy2 un izmanto iepriekšējās metodes, kas izmanto RC4 šifrēšanu.
Atjaunināts serveris atgriezīs jaunu bitu LsarOpenPolicy3 metodes atbildē, kā definēts LSAPR_REVISION_INFO_V1. Papildinformāciju skatiet MS-LSAD sadaļās "AES šifrēšanas lietojums" un "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES".
Ja serveris atbalsta AES, klients izmantos jaunās metodes un jaunās informācijas klases turpmākām uzticama domēna "izveides" un "iestatīšanas" operācijām. Ja serveris neatgriež šo karodziņu vai klients netiek atjaunināts, klients atkal izmanto iepriekšējās metodes, kurās tiek izmantota RC4 šifrēšana.
Notikumu reģistrēšana
2022. gada 11. janvāra atjauninājumi pievieno jaunu notikumu drošības notikumu žurnālam, lai palīdzētu identificēt ierīces, kas nav atjauninātas, un palīdzētu uzlabot drošību.
| Vērtība | Nozīme |
|---|---|
| Notikuma avots | Microsoft-Windows-drošība |
| Notikuma ID | 6425 |
| Līmenis | Informācija |
| Notikuma ziņojuma teksts | Tīkla klients izmantoja mantotu RPC metodi, lai modificētu uzticama domēna objekta autentifikācijas informāciju. Autentifikācijas informācija tika šifrēta ar mantotu šifrēšanas algoritmu. Apsveriet iespēju jaunināt klienta operētājsistēmu vai lietojumprogrammu, lai izmantotu šīs metodes jaunāko un drošāko versiju. Uzticams domēns:
RPC metodes nosaukums: Papildinformāciju skatiet vietnē https://go.microsoft.com/fwlink/?linkid=2161080. |
Bieži uzdotie jautājumi (BUJ)
Q1: Kādi scenāriji izraisa pazemināšanu no AES uz RC4?
A1: Pazemināšana notiek, ja serveris vai klients neatbalsta AES.
Q2: Kā es varu noteikt, vai tika apspriesta RC4 vai AES šifrēšana?
A2: Atjauninātie serveri reģistrē notikumu 6425, kad tiek izmantotas mantotas metodes, kas izmanto RC4.
3. jautājums. Vai serverī var pieprasīt AES šifrēšanu, un vai turpmākie Windows atjauninājumi programmiski ieviesīs, izmantojot AES?
A3: Pašlaik nav pieejams izpildes režīms. Tomēr nākotnē var būt, lai gan šādas izmaiņas nav plānotas.
4. jautājums: Vai trešo pušu klienti atbalsta CVE-2022-21913 aizsardzību, lai apspriestu AES, ja to atbalsta serveris? Vai ir jāsazinās ar Microsoft atbalstu vai trešās puses atbalsta komandu, lai atrisinātu šo jautājumu?
A4: Ja trešās puses ierīce vai lietojumprogramma neizmanto MS-LSAD protokolu, tas nav svarīgi. Trešās puses piegādātāji, kas ievieš MS-LSAD protokolu, var izvēlēties ieviest šo protokolu. Lai iegūtu papildinformāciju, sazinieties ar trešās puses piegādātāju.
5. jautājums. Vai jāveic papildu konfigurācijas izmaiņas?
A5: Papildu konfigurācijas izmaiņas nav nepieciešamas.
Q6: Kas izmanto šo protokolu?
A6: MS-LSAD protokolu izmanto daudzi Windows komponenti, tostarp Active Directory un rīki, piemēram, Active Directory domēnu un uzticamības konsole. Lietojumprogrammas var arī izmantot šo protokolu, izmantojot advapi32 bibliotēkas API, piemēram, LsaOpenPolicy vai LsaCreateTrustedDomainEx.