Šajā rakstā
Kopsavilkums
2022. gada 8. novembrī un jaunākās versijās Windows atjaunināšanas adrese ir īpaši līdzīga Netlogon protokola adresei, ja tiek izmantota RPC parakstīšana, nevis RPC apzīmogošana. Papildinformācija ir atrodama CVE-2022-38023.
Netlogon attālā protokola attālās procedūras izsaukuma (RPC) interfeiss tiek galvenokārt izmantots, lai uzturētu relāciju starp ierīci un tās domēnu, kā arī domēnu kontrolleru (DC) un domēnu relācijas.
Šis atjauninājums pēc noklusējuma aizsargā Windows ierīces no CVE-2022-38023 . Trešo pušu klientiem un trešo pušu domēnu kontrolleriem atjauninājums pēc noklusējuma ir saderības režīmā, un nodrošina neaizsargātus savienojumus no šādiem klientiem. Skatiet sadaļu Reģistra atslēgu iestatījumi, lai uzzinātu, kā pāriet uz ieviešanas režīmu.
Lai palīdzētu aizsargāt vidi, instalējiet Windows atjauninājumu, kas ir novecojis ar 2022. gada 8. novembri, vai jaunāku Windows atjauninājumu uz visām ierīcēm, ieskaitot domēna kontrollerus.
Svarīgi Sākot ar 2023. gada aprīli, ieviešanas režīms tiks iespējots visās Windows domēna kontrolleros un bloķēs neaizsargātus savienojumus no neatbilstošām ierīcēm. Tad atjauninājumu nevarēsit atspējot, bet iespējams, tiks atjaunots saderības režīma iestatījums. Saderības režīms tiks noņemts 2023. gada jūlijā, kā norādīts sadaļā Atjauninājumu hronometrāža, lai novērstu Netlogon ievainojamību CVE-2022-38023.
Atjauninājumu hronometrāža adresēm CVE-2022-38023
Atjauninājumi tiks izlaists vairākos posmos: sākotnējā posmā atjauninājumiem, kas izlaisti 2022. gada 8. novembrī vai pēc tam, un ieviešanas posmā atjauninājumiem, kas izlaisti 2023. gada 11. jūlijā vai pēc tam.
Sākotnējais izvietošanas posms sākas ar 2022. gada 8. novembrī izlaistajiem atjauninājumiem un turpinās ar vēlākiem Windows atjauninājumiem līdz ieviešanas fāzei. Windows atjauninājumi 2022. gada 8. novembrī vai pēc tam novērš drošības apiešanas ievainojamību CVE-2022-38023, visiem Windows klientiem uzspiešot RPC apslēpšanu.
Pēc noklusējuma ierīces tiks iestatītas saderības režīmā. Windows domēnu kontrolleriem būs nepieciešams, lai Netlogon klienti izmantotu RPC apzīmogošanu, ja tie izmanto Windows vai tie darbojas kā domēna kontrolleri vai kā drošības kontroles konti.
Windows atjauninājumi, kas izlaisti 2023. gada 11. aprīlī vai pēc tam, noņems iespēju atspējot RPC apzīmogošanu, iestatot vērtību 0uz RequireSeal.
RequireSeal tiks pārvietots uz ieviesto režīmu, ja vien administratori nav tieši konfigurējuši to saderības režīmā. Neaizsargāti savienojumi no visiem klientiem, tostarp trešo pušu, tiks liegta autentifikācija.
Windows atjauninājumi, kas izlaisti 2023. gada 11. jūlijā, noņems iespēju iestatīt vērtību 1 uz apakšatslēgu RequireSeal. Tas iespējo CVE-2022-38023 ieviešanas posmu.
Reģistra atslēgas iestatījumi
Pēc Windows atjauninājumu instalēšanas, kas ir datēti 2022. gada 8. novembrī vai pēc 2022. gada 8. novembra Windows atjauninājumiem, Windows domēnu kontrolleros ir pieejama šāda reģistra atslēga:
RequireSeal
|
Reģistra atslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Vērtība |
RequireSeal |
|
Datu tips |
REG_DWORD |
|
Dati |
0 – atspējots 1 – Saderības režīms. Windows domēnu kontrolleriem būs nepieciešams, lai Netlogon klienti izmantotu RPC zīmogu, ja tie izmanto Windows vai vai nu domēna kontrollerus, vai uzticamības kontus. 2 . Ieviešanas režīms. Visiem klientiem ir jāizmanto RPC zīmogs, ja vien tie nav pievienoti grupas politikas objektam "Domēna kontrolleris: atļaut neaizsargātus Netlogon drošu kanālu savienojumus" (GPO). |
|
Vai nepieciešama restartēšana? |
Nē |
Windows notikumi, kas saistīti ar CVE-2022-38023
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Kļūda |
|
Notikuma avots |
NETLOGON |
|
Notikuma ID |
5838 |
|
Notikuma teksts |
Netlogon pakalpojums radās klients, kas izmanto RPC pierakstīšanos, nevis RPC apzīmogošanu. |
Ja jūsu notikumu žurnālos atrodat šo kļūdas ziņojumu, lai novērstu sistēmas kļūdu, ir jāveic šādas darbības:
-
Pārliecinieties, vai ierīcē darbojas atbalstīta Windows versija.
-
Pārbaudiet, vai visas ierīces ir atjauninātas.
-
Pārbaudiet, vai domēna dalībnieks: domēna dalībnieks: digitāli šifrē vai parakstiet drošu kanāla datus (vienmēr) ir iestatīts uz Iespējots.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Kļūda |
|
Notikuma avots |
NETLOGON |
|
Notikuma ID |
5839 |
|
Notikuma teksts |
Netlogon pakalpojums radās uzticamības, izmantojot RPC pierakstīšanos, nevis RPC apzīmogošanu. |
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
NETLOGON |
|
Notikuma ID |
5840 |
|
Notikuma teksts |
Netlogon pakalpojums izveidoja drošu kanālu ar klientu ar RC4. |
Ja atrodat Notikumu 5840, tā ir zīme, ka klients jūsu domēnā izmanto vāju šifrēšanas funkciju.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Kļūda |
|
Notikuma avots |
NETLOGON |
|
Notikuma ID |
5841 |
|
Notikuma teksts |
Netlogon pakalpojums liedza klientu, kas izmantoja RC4, jo ir iestatīts iestatījums RejectMd5Clients. |
Ja atrodat Notikumu 5841, tā ir zīme, ka vērtība RejectMD5Clients ir iestatīta kā TRUE.
Atslēga RejectMD5Clients ir iepriekš esoša atslēga pakalpojumā Netlogon. Papildinformāciju skatiet rakstā Abstraktā datu modeļa RejectMD5Clients apraksts.
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
Šo CVE ietekmē visus domēnam pievienotos datora kontus. Pēc 2022. gada 8. novembra vai jaunākas Windows atjaunināšanas instalēšanas notikumi parādīs, kam šī problēma visvairāk ietekmē, lūdzu, pārskatiet sadaļu Notikumu žurnāla kļūdas, lai novērstu problēmas.
Lai palīdzētu noteikt vecākus klientus, kuri nelieto visspēcīgāko pieejamo šifrēšanas funkciju, šis atjauninājums iepazīstina ar notikumu žurnāliem klientiem, kuri izmanto RC4.
RPC parakstīšana ir tā, ka Netlogon protokols izmanto RPC, lai parakstītu ar vadu nosūtītos ziņojumus. RPC apzīmogošana ir tad, kad Netlogon protokols paraksta un šifrē ziņojumus, ko tas nosūta, izmantojot vadu.
Glosārijs
Uzlabotais šifrēšanas standarts (Advanced Encryption Standard — AES) ir bloks, kas aizstāj datu šifrēšanas standartu (DES). AES var izmantot, lai aizsargātu elektroniskos datus. AES algoritmu var izmantot, lai šifrētu (encipher) un atšifrētu (salasāmu) informāciju. Šifrēšana konvertē datus nelasāmā formā, ko sauc par šifrēšanas tekstu; atšifrējot ciphertext, dati tiek konvertēti atpakaļ sākotnējā formā, kas tiek dēvēta par vienkāršu tekstu. AES tiek izmantots simetriskas atslēgas šifrēšanai, kas nozīmē, ka tā pati atslēga tiek izmantota šifrēšanas un atšifrēšanas operācijām. Tas ir arī bloka izdai, kas nozīmē, ka tas darbojas uz fiksēta lieluma vienkārša teksta un ciphertext blokiem, un tā lielumam ir nepieciešams gan vienkāršs teksts, gan arī šis bloka lielums, kas dalās bez noteikta lieluma. AES ir pazīstama arī kā Ndael simetriskā šifrēšanas algoritms [FIPS197].
Ar Windows NT saderīgā tīkla drošības vidē komponents, kas atbild par sinhronizācijas un uzturēšanas funkcijām starp primāro domēna kontrolleri (PDC) un dublējuma domēna kontrolleriem (BDC). Netlogon ir direktoriju replicēšanas servera (DRS) protokola priekštecis. Netlogon attālā protokola attālās procedūras izsaukuma (RPC) interfeiss tiek galvenokārt izmantots, lai uzturētu relāciju starp ierīci un tās domēnu, kā arī domēnu kontrolleru (DC) un domēnu relācijas. Papildinformāciju skatiet rakstā Netlogon attālais protokols.
RC4-HMAC (RC4) ir mainīgs atslēgas garuma simetriskās šifrēšanas algoritms. Papildinformāciju skatiet [SCHNEIER] sadaļā 17.1.
Autentificēts attālās procedūras izsaukumu (RPC) savienojums starp diviem datoriem domēnā ar izveidotu drošības kontekstu, kas tiek izmantots RPC pakešu parakstīšanai un šifrēšanai.
