Sammendrag
Oppdateringene 11. januar 2022, Windows og nyere Windows gir beskyttelse for CVE-2022-21913.
Når du har installert AES-kryptering 11. januar 2022, Windows-oppdateringer eller nyere Windows-oppdateringer, angis AES-kryptering (Advanced Encryption Standard) som foretrukket krypteringsmetode på Windows-klienter når du bruker den eldre protokoll for lokal sikkerhetsmyndighet (domenepolicy) (MS-LSAD) for klarerte passordoperasjoner for domeneobjekter som sendes over et nettverk. Dette gjelder bare hvis AES-kryptering støttes av serveren. Hvis AES-kryptering ikke støttes av serveren, tillater systemet tilbakefall til den eldre RC4-krypteringen.
Endringer i CVE-2022-21913 er spesifikke for MS-LSAD-protokollen. De er uavhengige av andre protokoller. MS-LSAD bruker SMB (Server Message Block) over ekstern prosedyreanrop
(RPC) og navngitte datakanaler. Selv om SMB også støtter kryptering, er den ikke aktivert som standard. Som standard er endringene i CVE-2022-21913 aktivert og gir ekstra sikkerhet på LSAD-laget. Ingen flere konfigurasjonsendringer kreves utover å installere beskyttelsen for CVE-2022-21913 som er inkludert i oppdateringene for 11. januar 2022, Windows og nyere Windows oppdateringer for alle støttede versjoner av Windows. Versjoner av Windows bør ikke støttes eller oppgraderes til en støttet versjon.
Obs! CVE-2022-21913 endrer bare hvordan klareringspassord krypteres i transitt når du bruker bestemte API-er for MS-LSAD-protokollen, og endrer spesielt ikke hvordan passord lagres når de lagres. Hvis du vil ha mer informasjon om hvordan passord krypteres i Active Directory og lokalt i SAM-databasen (registeret), kan du se Teknisk oversikt over passord.
Mer informasjon
Endringer gjort av oppdateringene 11. januar 2022
-
Mønster for policyobjekt
Oppdateringene endrer policyobjektmønsteret for protokollen ved å legge til en ny Open Policy-metode som gjør det mulig for klienten og serveren å dele informasjon om AES-støtte.Gammel metode ved hjelp av RC4
Ny metode ved hjelp av AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Hvis du vil ha en fullstendig liste over MS-LSAR-protokollopnumer, kan du se [MS-LSAD]:Meldingsbehandlingshendelser og sekvensregler .
-
Mønster for klarert domeneobjekt
Oppdateringene endrer opprettingsmønsteret for klarert domeneobjekt for protokollen ved å legge til en ny metode for å opprette en klarering som bruker AES til å kryptere godkjenningsdata.
LsaCreateTrustedDomainEx API vil nå foretrekke den nye metoden hvis både klienten og serveren er oppdatert og faller tilbake til den eldre metoden ellers.
Gammel metode ved hjelp av RC4
Ny metode ved hjelp av AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Oppdateringene endrer mønsteret for Trusted Domain Object Set for protokollen ved å legge til to nye klarerte informasjonsklasser i LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49)-metodene. Du kan angi informasjon om klarert domeneobjekt på følgende måte.
Gammel metode ved hjelp av RC4
Ny metode ved hjelp av AES
LsarSetInformationTrustedDomain (Opnum 27) sammen med TrustedDomainAuthInformationInternal eller TrustedDomainFullInformationInternal (inneholder et kryptert klareringspassord som bruker RC4)
LsarSetInformationTrustedDomain (Opnum 27) sammen med TrustedDomainAuthInformationInternalAes eller TrustedDomainFullInformationAes (inneholder et kryptert klareringspassord som bruker AES)
LsarSetTrustedDomainInfoByName (Opnum 49) sammen med TrustedDomainAuthInformationInternal eller TrustedDomainFullInformationInternal (inneholder et kryptert klareringspassord som bruker RC4 og alle andre attributter)
LsarSetTrustedDomainInfoByName (Opnum 49) sammen med TrustedDomainAuthInformationInternalAes eller TrustedDomainFullInformationInternalAes (inneholder et kryptert klareringspassord som bruker AES og alle andre attributter)
Slik fungerer den nye virkemåten
Den eksisterende LsarOpenPolicy2-metoden brukes vanligvis til å åpne en kontekstreferanse til RPC-serveren. Dette er den første funksjonen som må kalles for å kontakte den lokale sikkerhetsmyndigheten (domenepolicyen) Remote Protocol-databasen. Når du har installert disse oppdateringene, erstatter LsarOpenPolicy2-metoden den nye LsarOpenPolicy3-metoden.
En oppdatert klient som kaller LsaOpenPolicy API, kaller nå LsarOpenPolicy3-metoden først. Hvis serveren ikke er oppdatert og ikke implementerer LsarOpenPolicy3-metoden, går klienten tilbake til LsarOpenPolicy2-metoden, og den bruker de tidligere metodene som bruker RC4-kryptering.
En oppdatert server returnerer en ny bit i LsarOpenPolicy3-metodesvaret, som definert i LSAPR_REVISION_INFO_V1. Hvis du vil ha mer informasjon, kan du se inndelingene AES Cipher Usage og LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES i MS-LSAD.
Hvis serveren støtter AES, bruker klienten de nye metodene og de nye informasjonsklassene for etterfølgende klarerte domeneoperasjoner som «opprett» og «sett». Hvis serveren ikke returnerer dette flagget, eller hvis klienten ikke er oppdatert, vil klienten gå tilbake til å bruke de tidligere metodene som bruker RC4-kryptering.
Hendelseslogging
Oppdateringene 11. januar 2022 legger til en ny hendelse i hendelsesloggen for sikkerhet for å hjelpe deg med å identifisere enheter som ikke er oppdatert, og for å bidra til å forbedre sikkerheten.
|
Verdi |
Betydning |
|---|---|
|
Hendelseskilde |
Microsoft-Windows-Security |
|
Hendelses-ID |
6425 |
|
Nivå |
Informasjon |
|
Meldingstekst for hendelse |
En nettverksklient brukte en eldre RPC-metode til å endre godkjenningsinformasjon på et klarert domeneobjekt. Godkjenningsinformasjonen ble kryptert med en eldre krypteringsalgoritme. Vurder å oppgradere klientoperativsystemet eller -programmet for å bruke den nyeste og sikrere versjonen av denne metoden. Klarert domene:
Endret av:
Klientnettverksadresse: Hvis du vil ha mer informasjon, kan du gå til https://go.microsoft.com/fwlink/?linkid=2161080. |
Vanlige spørsmål
Spørsmål 1: Hvilke scenarier utløser en nedgradering fra AES til RC4?
A1: En nedgradering skjer hvis serveren eller klienten ikke støtter AES.
Q2: Hvordan kan jeg vite om RC4-kryptering eller AES-kryptering ble forhandlet frem?
A2: Oppdaterte servere logger hendelse 6425 når eldre metoder som bruker RC4, brukes.
Q3: Kan jeg kreve AES-kryptering på serveren, og vil Windows oppdateringer programmatisk håndheves ved hjelp av AES?
A3: Det er for øyeblikket ingen håndhevelsesmodus tilgjengelig. Det kan imidlertid være i fremtiden, selv om ingen slik endring er planlagt.
Spørsmål 4: Støtter tredjepartsklienter beskyttelse for CVE-2022-21913 for å forhandle frem AES når de støttes av serveren? Bør jeg kontakte Microsoft Kundestøtte eller tredjeparts kundestøtteteam for å løse dette spørsmålet?
A4: Hvis en tredjepartsenhet eller et program ikke bruker MS-LSAD-protokollen, er ikke dette viktig. Tredjepartsleverandører som implementerer MS-LSAD-protokollen, kan velge å implementere denne protokollen. Hvis du vil ha mer informasjon, kan du kontakte tredjepartsleverandøren.
Q5: Må det gjøres flere konfigurasjonsendringer?
A5: Ingen flere konfigurasjonsendringer er nødvendige.
Spørsmål6: Hva bruker denne protokollen?
A6: MS-LSAD-protokollen brukes av mange Windows komponenter, inkludert Active Directory og verktøy som Active Directory Domains og Trusts-konsollen. Programmer kan også bruke denne protokollen via advapi32-bibliotek-API-er, for eksempel LsaOpenPolicy eller LsaCreateTrustedDomainEx.
