Kopsavilkums
2022. gada 11. Windows atjauninājumi un jaunākas versijas Windows nodrošina CVE-2022-21913 aizsardzību.
Pēc 2022. gada 11. janvāra Windows atjauninājumu vai jaunāku Windows atjauninājumu instalēšanas uzlabotās šifrēšanas standarta (AES) šifrēšana tiks iestatīta kā vēlamā šifrēšanas metode Windows klientiem, ja izmantosit mantoto lokālās drošības iestādes (domēna politikas) (MS-LSAD) protokolu uzticamām domēna objektu paroļu operācijām, kas tiek sūtītas tīklā. Tas attiecas tikai uz to, ja serveris atbalsta AES šifrēšanu. Ja serveris neatbalsta AES šifrēšanu, sistēma atļaus izmantot mantoto RC4 šifrēšanu.
Izmaiņas CVE-2022-21913 ir raksturīgas MS-LSAD protokolam. Tie ir neatkarīgi no citiem protokoliem. MS-LSAD ar attālās procedūras izsaukumu izmanto servera ziņojumu bloku (Server Message Block — SMB)
(RPC) un nosauktie programmkanālus. Lai gan SMB atbalsta arī šifrēšanu, tā pēc noklusējuma nav iespējota. Pēc noklusējuma CVE-2022-21913 izmaiņas ir iespējotas un nodrošina papildu drošību LSAD slānī. Papildus nav jāveic papildu konfigurācijas izmaiņas, kā arī nav jāinstalē CVE-2022-21913 aizsardzība, kas ir iekļauta 2022. gada 11. janvārī, Windows atjauninājumiem un vēlākiem Windows atjauninājumiem visās atbalstītās Windows. Neatbalstītās lietojumprogrammu Windows ir jāpārtrauc vai jājaunina uz atbalstītu versiju.
Piezīme. CVE-2022-21913 modificē tikai to, kā drošības kontroles paroles tiek šifrētas tranzītā, ja izmantojat konkrētus MS-LSAD protokola API un īpaši nemodificējat paroļu glabāšanu drupā. Papildinformāciju par paroļu šifrēšanu vietā pakalpojumā Active Directory un lokāli SAM datu bāzē (reģistrā) skatiet rakstā Paroļu tehniskais pārskats.
Papildinformācija
Izmaiņas, kas veiktas 2022. gada 11. janvārī, atjauninājumi
-
Politikas objektu modelis
Atjauninājumi modificē protokola politikas objekta modeli, pievienojot jaunu atvēršanas politikas metodi, kas ļauj klientam un serverim kopīgot informāciju par AES atbalstu.Veca metode, kas izmanto RC4
Jauna metode, izmantojot AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Pilnu MS-LSAR protokola opnums sarakstu skatiet [MS-LSAD]:Ziņojumu apstrādes notikumi un sequencing kārtulas.
-
Trusted Domain Object pattern
Atjauninājumi modificē protokola uzticamo domēna objektu izveides modeli, pievienojot jaunu metodi, lai izveidotu uzticamības, kas izmantos AES autentifikācijas datu šifrēšanai.
LsaCreateTrustedDomainEx API tagad dod priekšroku jaunajai metodei, ja gan klients, gan serveris tiks atjaunināti, lai atgrieztos pie vecākās metodes.
Veca metode, kas izmanto RC4
Jauna metode, izmantojot AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Atjauninājumi modificē protokola uzticamo domēna objektu kopas modeli, pievienojot divas jaunas uzticamas informācijas klases LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49) metodēm. Varat iestatīt uzticamu domēna objektu informāciju, kā norādīts tālāk.
Veca metode, kas izmanto RC4
Jauna metode, izmantojot AES
LsarSetInformationTrustedDomain (Opnum 27) kopā ar TrustedDomainAuthInformationInternal vai TrustedDomainFullInformationInternal (glabā šifrētu uzticamības paroli, kas izmanto RC4)
LsarSetInformationTrustedDomain (Opnum 27) kopā ar TrustedDomainAuthInformationInternalAes vai TrustedDomainFullInformationAes (ietver šifrētu uzticamības paroli, kas izmanto AES)
LsarSetTrustedDomainInfoByName (Opnum 49) kopā ar TrustedDomainAuthInformationInternal vai TrustedDomainFullInformationInternal (ietver šifrētu uzticamības paroli, kas izmanto RC4 un visus pārējos atribūtus)
LsarSetTrustedDomainInfoByName (Opnum 49) kopā ar TrustedDomainAuthInformationInternalAes vai TrustedDomainFullInformationInternalAes (ietver šifrētu uzticamības paroli, kas izmanto AES un visus citus atribūtus)
Kā darbojas jaunā darbība
Esošā LsarOpenPolicy2 metode parasti tiek izmantota, lai atvērtu konteksta turi RPC serverī. Šī ir pirmā funkcija, kas ir jāizsauc, lai sazinātos ar lokālās drošības iestādes (domēna politikas) attālā protokola datu bāzi. Pēc šo atjauninājumu instalēšanas metode LsarOpenPolicy2 tiek aizstāta ar jauno metodi LsarOpenPolicy3.
Atjaunināts klients, kas izsauc LsaOpenPolicy API, tagad vispirms izsauc metodi LsarOpenPolicy3. Ja serveris nav atjaunināts un neievieš metodi LsarOpenPolicy3, klients atgriežas pie metodes LsarOpenPolicy2 un izmanto iepriekšējās metodes, kas izmanto RC4 šifrēšanu.
Atjaunināts serveris atgriezīs jaunu bitu metodes LsarOpenPolicy3 atbildē, kā noteikts LSAPR_REVISION_INFO_V1. Papildinformāciju skatiet MS-LSADsadaļās "AES Cipher Usage" LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES "AES Cipher Usage" un "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" .
Ja serveris atbalsta AES, klients izmanto jaunās metodes un jaunās informācijas klases turpmākām uzticamā domēna "izveidot" un "kopas" darbībām. Ja serveris neatgriež šo karodziņu vai klients nav atjaunināts, klients atgriezīsies atpakaļ uz iepriekšējām metodēm, kas izmanto RC4 šifrēšanu.
Notikumu reģistrēšana
2022. gada 11. janvāris atjaunina atjauninājumu un drošības notikumu žurnālam pievieno jaunu notikumu, lai palīdzētu identificēt ierīces, kas nav atjauninātas, un palīdzētu uzlabot drošību.
|
Vērtība |
Nozīme |
|---|---|
|
Notikuma avots |
Microsoft-Windows-Security |
|
Notikuma ID |
6425 |
|
Līmenis |
Informācija |
|
Notikuma ziņojuma teksts |
Tīkla klients izmantoja mantotu RPC metodi, lai modificētu autentifikācijas informāciju uzticamā domēna objektā. Autentifikācijas informācija tika šifrēta ar mantoto šifrēšanas algoritmu. Apsveriet iespēju jaunināt klienta operētājsistēmu vai lietojumprogrammu, lai izmantotu šīs metodes jaunāko un drošāko versiju. Uzticams domēns:
Modificēja:
Klienta tīkla adrese: Papildinformāciju skatiet https://go.microsoft.com/fwlink/?linkid=2161080. |
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
1. problēma. Kādi scenāriji izraisa pazemināšanu no AES uz RC4?
A1: Pazemināšana notiek tad, ja serveris vai klients neatbalsta AES.
2. problēma. Kā noteikt, vai RC4 šifrēšana vai AES šifrēšana tika apspriesta?
A2: Atjaunināti serveri reģistrēs notikumu 6425, ja tiks izmantotas mantotās metodes, kas izmanto RC4.
3. problēma. Vai varu serverī pieprasīt AES šifrēšanu, un turpmāk Windows programmiski ieviest, izmantojot AES?
A3: Pašlaik nav pieejams ieviešanas režīms. Tomēr tās var būt arī nākotnē, lai gan šādas izmaiņas nav plānotas.
4. Problēma. Vai trešo pušu klienti atbalsta CVE-2022-21913 aizsardzību, lai apspriestu AES, ja to atbalsta serveris? Vai man ir jāsazinās ar Microsoft atbalsta dienestu vai trešās puses atbalsta komandu, lai uzdotu šo jautājumu?
A4: Ja trešās puses ierīce vai lietojumprogramma nelieto MS-LSAD protokolu, tas nav svarīgi. Trešo pušu piegādātāji, kas ievieš MS-LSAD protokolu, var izvēlēties ieviest šo protokolu. Lai iegūtu papildinformāciju, sazinieties ar trešās puses piegādātāju.
5. problēma. Vai ir jāveic papildu konfigurācijas izmaiņas?
A5: Nav jāveic papildu konfigurācijas izmaiņas.
6. problēma. Kas izmanto šo protokolu?
A6: MS-LSAD protokolu izmanto daudzi dažādi Windows, tostarp Active Directory un rīki, piemēram, Active Directory domēni un uzticamības konsole. Lietojumprogrammas var izmantot arī šo protokolu, izmantojot advapi32 bibliotēkas API, piemēram, LsaOpenPolicy vai LsaCreateTrustedDomainEx.
