Applies ToWindows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

ATJAUNINĀTS 2023. gada 14. marts

Kopsavilkums

CVE-2021-42287 pievēršas drošības apiešanas ievainojamībai, kas ietekmē Kerberos privilēģiju atribūta sertifikātu (PAC) un sniedz iespēju potenciālajiem uzbrukumiem personificēt domēna kontrollerus. Lai izmantotu šo ievainojamību, apdraudēts domēna konts var izraisīt atslēgas izplatīšanas centra (Key Distribution Center — KDC) izveidot pakalpojuma biļeti ar augstāku privilēģiju līmeni, kas pārsniedz apdraudētā konta līmeni. Tas tiek paveikts, neļaujot KDC noteikt, kuram kontam ir augstākas privilēģiju pakalpojuma biļete.

Uzlabotais autentifikācijas process rīkā CVE-2021-42287 pievieno jaunu informāciju par sākotnējo pieprasītāju Kerberos Ticket-Granting biļešu paeksiem (TGT). Vēlāk, kad kontam tiek ģenerēta Kerberos pakalpojuma biļete, jaunajā autentifikācijas procesā tiek pārbaudīts, vai konts, kas pieprasīja TGT, ir tas pats konts, uz kuru ir atsauce pakalpojuma biļetē.

Pēc Windows atjauninājumu instalēšanas ar 2021. gada 9. novembra vai jaunāku versiju, PAC tiks pievienoti visu domēnu kontu TGT pat tad, ja iepriekš izvēlējāties noraidīt PAC.

Rīcība

Lai aizsargātu vidi un izvairītos no darbības pārtraukumiem, veiciet tālāk norādītās darbības.

  1. Atjauniniet visas ierīces, kas vieso Active Directory domēna kontrollera lomu, instalējot 2021. gada 9. novembra drošības atjauninājumu un 2021. gada 14. novembra ārpusjoslas (OOB) atjauninājumu. Zemāk atrodiet OOB KB numuru konkrētai OS ierīcei.

    OS

    KB numurs

    Windows Server 2016

    5008601

    Windows Server 2019

    5008602

    Windows Server 2012 R2

    5008603

    Windows Server 2012

    5008604

    Windows Server 2008 R2 1. servisa pakotne

    5008605

    Windows Server 2008 SP2

    5008606

  2. Pēc 2021. gada 9. novembra drošības atjauninājuma un 2021. gada 14. novembra OOB atjauninājuma instalēšanas visās Active Directory domēna kontrolleros vismaz 7 dienas, iesakām iespējot ieviešanas režīmu visās Active Directory domēna kontrolleros.

  3. Sākot ar (atjaunināts) 2022. gada 11. oktobra ieviešanas posma atjauninājumu, visās Windows domēna kontrolleros būs iespējots ieviešanas režīms, un tas būs nepieciešams.

Windows atjauninājumu hronometrāža — (atjaunināta 31.01.23.)

Šie Windows Atjauninājumi tiks izlaisti trīs posmos:

  1. Sākotnējā izvietošana — atjauninājuma ievads, kā arī reģistra atslēga PacRequestorEnforcement

  2. Otrā izvietošana — PacRequestorEnforcement vērtības 0 noņemšana (iespēja atspējot reģistra atslēgu)

  3. Ieviešanas fāze — tiek iespējots ieviešanas režīms. Šajā posmā tiek novecojušs PacRequestorEnforcement taustiņš , un tas vairs netiek nolasīts.

2021. gada 9. novembris. Sākotnējā izvietošanas fāze

Sākotnējais izvietošanas posms sākas ar Windows atjauninājumu, kas izlaists 2021. gada 9. novembrī. Šajā laidienā:

  • Pievieno aizsardzību pret CVE-2021-42287

  • Pievieno atbalstu reģistra vērtībai PacRequestorEnforcement , kas ļauj pāriet uz ieviešanas posmu ātrāk

Risku mazināšana ietver Windows atjauninājumu instalēšanu visās ierīcēs, kurās tiek viesota domēna kontrollera loma un tikai lasāmi domēna kontrolleri (RODC).

2022. gada 12. jūlijs: otrais izvietošanas posms

Otrais izvietošanas posms sākas ar Windows atjauninājumu, kas izlaists 2022. gada 12. jūlijā. Šajā fāzē tiek noņemts PacRequestorEnforcement iestatījums 0. PacRequestorEnforcement iestatīšanai uz 0 pēc šī atjauninājuma instalēšanas būs tāda pati ietekme kā PacRequestorEnforcement iestatīšanai uz 1. Domēna kontrolleri (DC) tiks izvietoti izvietošanas režīmā.

Piezīme Šis posms nav nepieciešams, ja PacRequestorEnforcement nekad nav iestatīts uz 0 jūsu vidē. Šis posms palīdz nodrošināt, ka klienti, kas iestata PacRequestorEnforcement uz 0, pāriet uz 1 iestatīšanu pirms ieviešanas posma.

Piezīme Šajā atjauninājumā tiek pieņemts, ka visi domēna kontrolleri tiek atjaunināti ar 2021. gada 9. novembra vai jaunāku Windows atjauninājumu.

2022. gada 11. oktobris: Ieviešanas posms - (Atjaunināts 31.01.23.)

2022. gada 11. oktobra laidiens pāries uz ieviešanas posmu visiem Active Directory domēna kontrolleriem. Ieviešanas posms noveco un vairs nelasa PacRequestorEnforcement atslēgu. Rezultātā Windows domēna kontrolleri, kas instalējuši 2022. gada 11. oktobra atjauninājumu, vairs nebūs saderīgi ar:

  • Domēnu kontrolleri, kas neinstalēja 2021. gada 9. novembra vai jaunāku versiju atjauninājumus.

  • Domēnu kontrolleri, kas instalēja 2021. gada 9. novembra vai jaunāku versiju, bet vēl nav instalējuši 2022. gada 12. jūlija atjauninājumu un kuriem ir PacRequestorEnforcement reģistra vērtība 0.

Tomēr Windows domēna kontrolleri, kas instalējuši 2022. gada 11. oktobra atjauninājumu, paliks saderīgi ar:

  • Windows domēna kontrolleri, kas instalējuši 2022. gada 11. oktobra vai jaunāku versiju atjauninājumus

  • Loga domēnu kontrolleri, kas instalējuši 2021.gada 9. novembrī vai jaunāku versiju un kuriem ir pacRequestorEnforcement vērtība vai 1 vai 2

Reģistra atslēgas informācija

Pēc CVE-2021-42287 aizsardzības instalēšanas Windows atjauninājumos, kas izlaisti no 2021. gada 9. novembra līdz 2022. gada 14. jūnijam, būs pieejama šāda reģistra atslēga:

Reģistra apakšatslēga

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Vērtība

PacRequestorEnforcement

Datu tips

REG_DWORD

Dati

1. Pievienojiet jaunu PAC lietotājiem, kuri autentificēja, izmantojot Active Directory domēna kontrolleri, kas instalēja 2021. gada 9. novembra vai jaunākas versijas atjauninājumus. Autentificējot, ja lietotājam ir jaunā PAC, PAC tiek validēts. Ja lietotājam nav jaunā PAC, nekādas turpmākas darbības netiek jāveic. Active Directory domēna kontrolleri šajā režīmā ir izvietošanas posmā.

2. Pievienojiet jaunu PAC lietotājiem, kuri autentificēja, izmantojot Active Directory domēna kontrolleri, kas instalēja 2021. gada 9. novembra vai jaunākas versijas atjauninājumus. Autentificējot, ja lietotājam ir jaunā PAC, PAC tiek validēts. Ja lietotājam nav jaunā PAC, autentifikācija tiek liegta. Active Directory domēna kontrolleri šajā režīmā ir ieviešanas posmā.

0. Atspējo reģistra atslēgu. Nav ieteicams. Active Directory domēnu kontrolleri šajā režīmā ir atspējotā fāzē. Šī vērtība nepastāvēs pēc 2022. gada 12. jūlija vai jaunākas versijas atjauninājumiem.

Svarīgi! Iestatījums 0 nav saderīgs ar 2. iestatījumu. Neregulāras kļūmes var rasties, ja mežā tiek izmantoti abi iestatījumi. Ja tiek izmantots iestatījums 0, ieteicams pāriet uz 0 (Atspējot) iestatīšanu 1 (Izvietošana) vismaz nedēļu pirms pārejat uz 2 iestatījumu (ieviešanas režīms).

Noklusējums

1 (ja reģistra atslēga nav iestatīta)

Vai nepieciešama restartēšana?

Notikumu auditēšana

Arī 2021. gada 9. novembra Windows atjauninājums pievienos jaunus notikumu žurnālus.

PAC bez atribūtiem

KDC atrod TGT bez PAC atribūtu bufera. Iespējams, ka cits KDC žurnālos nav iekļauts atjauninājums vai ir atspējošanas režīmā.

Notikumu žurnāls

Sistēma

Notikuma tips

Brīdinājums

Notikuma avots

Microsoft-Windows-Kerberos-key-Distribution-Center

Notikuma ID

35

Notikuma teksts

Key Distribution Center (KDC) radās biļešu piešķiršanas biļete (TGT) no citas KDC ("<KDC Name>"), kas nesatur PAC atribūtu lauku. 

Biļete bez PAC

KDC atrod TGT vai citu pierādījumu biļeti bez PAC. Tādējādi KDC neļauj veikt drošības pārbaudes biļetē.

Notikumu žurnāls

Sistēma

Notikuma tips

Brīdinājums izvietošanas fāzē

Kļūda ieviešanas fāzē

Notikuma avots

Microsoft-Windows-Kerberos-key-Distribution-Center

Notikuma ID

36

Notikuma teksts

Key Distribution Center (KDC) radās biļete, kas nesatur PAC, kamēr apstrādāja citas biļešu pieprasījumu. Tas liedza iespēju veikt drošības pārbaudes, kā arī var atvērt drošības ievainojamības. 

Klients: <domēna nosaukuma>\<lietotājvārda>

Biļete: <pakalpojuma nosaukums>

Biļete bez pieprasītāja

KDC atrod TGT vai citu pierādījumu biļeti bez PAC pieprasītāja bufera. Visticamāk, KDC, kas veidojis PAC, nesatur atjauninājumu vai ir atspējotā režīmā.

Piezīme Svarīgu informāciju par notikumu 37 skatiet sadaļā Zināmās problēmas.

Notikumu žurnāls

Sistēma

Notikuma tips

Brīdinājums izvietošanas fāzē

Kļūda ieviešanas fāzē

Notikuma avots

Microsoft-Windows-Kerberos-key-Distribution-Center

Notikuma ID

37

Notikuma teksts

Key Distribution Center (KDC) radās biļete, kurā nav informācijas par kontu, kas pieprasīja biļeti, apstrādājot citas biļešu pieprasījumu. Tas liedza iespēju veikt drošības pārbaudes, kā arī var atvērt drošības ievainojamības. 

Ticket PAC constructed by: <KDC Name>

 Klients: <domēna nosaukuma>\<klienta nosaukuma>

Biļete: <pakalpojuma nosaukums>

Pieprasītāja neatbilstība

KDC atrod TGT vai citu pierādījumu biļeti, un konts, kas pieprasīja TGT vai pierādījumu biļeti, neatbilst kontam, uz kuru ir veidota pakalpojuma biļete.

Notikumu žurnāls

Sistēma

Notikuma tips

Kļūda

Notikuma avots

Microsoft-Windows-Kerberos-key-Distribution-Center

Notikuma ID

38

Notikuma teksts

Atslēgu adresātu centrā (KDC) radās biļete, kurā bija neatbilstīga informācija par kontu, kas pieprasīja biļeti. Tas var nozīmēt, ka konts ir pārdēvēts kopš biļetes izsaukšanas, kas, iespējams, ir daļa no mēģināts izmantot. 

Ticket PAC constructed by: <Kdc Name>

Klients: <domēna nosaukuma>\<lietotājvārda>

Biļete: <pakalpojuma nosaukums>

Konta SID pieprasīšana no Active Directory: <SID>

Konta SID pieprasīšana no biļetes: <SID>

Zināmās problēmas

Problēmas pazīme

Risinājums

Pēc Windows atjauninājumu instalēšanas, kas izlaisti 2021. gada 9. novembrī vai jaunāku versiju domēna kontrolleros (DC), daži klienti, iespējams, redzēs jauno audita notikuma ID 37, kas reģistrēts pēc noteikta paroles iestatījuma vai izmaiņu veikšanas, piemēram:

  • Kļūmjpārlēces klastera CNO vai VCO atjaunināšana vai labošana

  • Lietotāja paroles atiestatīšana no lietotāja Active Directory lietotāji un datori (dsa.msc) konsoles

  • Jauna lietotāja izveide no lietotāja Active Directory lietotāji un datori (dsa.msc) konsoles

  • Trešās puses, domēna ierīču paroles maiņa

Ja pēc Windows atjauninājumu instalēšanas, kas nedēļu izlaisti 2021. gada 9. novembrī, neredzat Notikuma ID 37 un PacRequestorEnforcement ir "1" vai "2", jūsu vide netiek ietekmēta.

Ja iestatāt PacRequestorEnforcement = 1, notikuma ID 37 tiek reģistrēts kā brīdinājums, bet paroles maiņas pieprasījumi ir veiksmīgi un neietekmēs lietotājus.

Ja iestatīsiet PacRequestorEnforcement = 2, paroles maiņas pieprasījumi neizdosies un arī neizdosies veikt iepriekš norādītās darbības.

Šī problēma ir novērsta šādos atjauninājumos:

Bieži uzdotie jautājumi

1. jautājums Kas notiek, ja man ir sajaucti Active Directory domēnu kontrolleri, kas ir atjaunināti un nav atjaunināti?

A1. Domēna kontrolleru sajaucība, kas tiek atjauninātas un netiek atjauninātas, taču kurām ir noklusējuma PacRequestorEnforcement reģistra atslēgas vērtība 1, ir saderīgas savā starpā. Tomēr Microsoft stingri iesaka, ka domēnu kontrolleri tiek atjaunināti un netiek atjaunināti vidē.

2. jautājums Kas notiek, ja man ir dažādu PacRequestorEnforcement vērtību dažādu Active Directory domēnu kontrolleru sajaucība?

A2. A mixture of domain controllers that have PacRequestorEnforcement values of 0 and 1 are compatible each with other. A mixture of domain controllers that have PacRequestorEnforcement values of 1 and 2 are compatible each other. Dažādu domēnu kontrolleru, kuru PacRequestorEnforcement vērtības ir 0 un 2, sajaucība nav saderīga savā starpā un var radīt neregulāras kļūmes. Lai iegūtu papildinformāciju, skatiet sadaļu Reģistra atslēgas informācija.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.