Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Oppdatert

10. april 2023: Oppdaterte «tredje distribusjonsfase» fra 11. april 2023 til 13. juni 2023 i delen «Tidsberegning av oppdateringer for å adressere CVE-2022-37967».

I denne artikkelen

Oppsummering

November 8, 2022 Windows oppdaterer adresse sikkerhet bypass og heving av privilegium sårbarheter med Privilege Attribute Certificate (PAC) signaturer. Denne sikkerhetsoppdateringen tar for seg Kerberos-sårbarheter der en angriper digitalt kan endre PAC-signaturer, noe som øker rettighetene deres.

Installer windows-oppdateringen på alle enheter, inkludert Windows-domenekontrollere, for å sikre miljøet ditt. Alle domenekontrollere i domenet må oppdateres først før oppdateringen byttes til fremtvunget modus.

Hvis du vil vite mer om disse sårbarhetene, kan du se CVE-2022-37967.

Utfør handling

Vi anbefaler at du gjør følgende for å bidra til å beskytte miljøet og forhindre avbrudd:

  1. OPPDATER Windows-domenekontrollerne med en Windows-oppdatering utgitt 8. november 2022.

  2. FLYTT Windows-domenekontrollerne til overvåkingsmodus ved hjelp av innstillingsdelen for registernøkkelen .

  3. MONITOR-hendelser arkivert under overvåkingsmodus for å sikre miljøet ditt.

  4. AKTIVERERHåndhevelsesmodus for å adressere CVE-2022-37967 i miljøet ditt.

Merk Trinn 1 for å installere oppdateringer utgitt på eller etter 8. november 2022 vil IKKE løse sikkerhetsproblemene i CVE-2022-37967 for Windows-enheter som standard. Hvis du vil redusere sikkerhetsproblemet for alle enheter fullt ut, må du gå til overvåkingsmodus (beskrevet i trinn 2) etterfulgt av fremtvunget modus (beskrevet i trinn 4) så snart som mulig på alle Windows-domenekontrollere.

Viktig!   Fra og med juli 2023 aktiveres håndhevelsesmodus på alle Windows-domenekontrollere og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter.  På dette tidspunktet vil du ikke kunne deaktivere oppdateringen, men kan gå tilbake til innstillingen for overvåkingsmodus. Overvåkingsmodus vil bli fjernet i oktober 2023, som beskrevet i tidsberegning av oppdateringer for å løse Kerberos-sikkerhetsproblemet CVE-2022-37967-delen .

Tidsberegning for oppdateringer for å adressere CVE-2022-37967

Oppdateringer vil bli utgitt i faser: den første fasen for oppdateringer utgitt 8. november 2022 og håndhevelsesfasen for oppdateringer utgitt 13. juni 2023.

Den første distribusjonsfasen starter med oppdateringene som ble utgitt 8. november 2022, og fortsetter med senere Windows-oppdateringer frem til håndhevelsesfasen. Denne oppdateringen legger til signaturer i Kerberos PAC-bufferen, men ser ikke etter signaturer under godkjenning. Sikker modus er derfor deaktivert som standard.

Denne oppdateringen:

  • Legger til PAC-signaturer i Kerberos PAC-bufferen.

  • Legger til mål for å løse sikkerhetsproblemer med forbikobling i Kerberos-protokollen.

Den andre distribusjonsfasen starter med oppdateringer utgitt 13. desember 2022. Disse og senere oppdateringene gjør endringer i Kerberos-protokollen for å overvåke Windows-enheter ved å flytte Windows-domenekontrollere til overvåkingsmodus.

Med denne oppdateringen vil alle enheter være i overvåkingsmodus som standard:

  • Hvis signaturen mangler eller er ugyldig, er godkjenning tillatt. I tillegg opprettes det en overvåkingslogg. 

  • Hvis signaturen mangler, kan du heve en hendelse og tillate godkjenning.

  • Hvis signaturen finnes, validerer du den. Hvis signaturen er feil, kan du heve en hendelse og tillate godkjenning.

Windows-oppdateringene utgitt 13. juni 2023 gjør følgende: 

  • Fjern muligheten til å deaktivere PAC-signaturtillegg ved å angi krbtgtFullPacSignature-undernøkkelen til en verdi på 0.

Windows-oppdateringene utgitt 11. juli 2023 gjør følgende: 

  • Fjerner muligheten til å angi verdi 1 for undernøkkelen KrbtgtFullPacSignature.

  • Flytter oppdateringen til håndhevelsesmodus (standard) (KrbtgtFullPacSignature = 3) som kan overstyres av en administrator med en eksplisitt overvåkingsinnstilling.

Windows-oppdateringene utgitt 10. oktober 2023 gjør følgende: 

  • Fjerner støtte for registerundernøkkelen KrbtgtFullPacSignature.

  • Fjerner støtte for overvåkingsmodus.

  • Alle tjenesteforespørsler uten de nye PAC-signaturene vil bli nektet godkjenning.

Retningslinjer for distribusjon

Følg disse trinnene for å distribuere Windows-oppdateringer som er datert 8. november 2022 eller nyere Windows-oppdateringer:

  1. OPPDATER Windows-domenekontrollerne med en oppdatering utgitt 8. november 2022.

  2. FLYTT domenekontrollerne til overvåkingsmodus ved hjelp av innstillingsdelen for registernøkkelen.

  3. MONITOR-hendelser arkivert under overvåkingsmodus for å bidra til å sikre miljøet ditt.

  4. AKTIVERER Håndhevelsesmodus for å adressere CVE-2022-37967 i miljøet ditt.

TRINN 1: OPPDATERING 

Distribuer oppdateringene 8. november 2022 eller nyere til alle gjeldende Windows-domenekontrollere (DCer). Når oppdateringen er distribuert, vil Windows-domenekontrollere som har blitt oppdatert, ha signaturer lagt til Kerberos PAC Buffer og vil være usikre som standard (PAC-signatur er ikke validert).

  • Når du oppdaterer, må du passe på å beholde registerverdien KrbtgtFullPacSignature i standardtilstanden til alle Windows-domenekontrollere oppdateres.

TRINN 2: FLYTT 

Når Windows-domenekontrollerne er oppdatert, bytter du til overvåkingsmodus ved å endre KrbtgtFullPacSignature-verdien til 2.  

TRINN 3: FINN/OVERVÅK 

Identifiser områder som enten mangler PAC-signaturer eller har PAC-signaturer som mislykkes validering gjennom hendelsesloggene som utløses under overvåkingsmodus.   

  • Kontroller at domenefunksjonsnivået er satt til minst 2008 eller større før du flytter til håndhevelsesmodus. Flytting til håndhevelsesmodus med domener på 2003-domenefunksjonsnivå kan føre til godkjenningsfeil.

  • Overvåkingshendelser vises hvis domenet ikke er fullstendig oppdatert, eller hvis utestående tidligere utstedte tjenestebilletter fremdeles finnes i domenet ditt.

  • Fortsett å overvåke for flere hendelseslogger som angir manglende PAC-signaturer eller valideringsfeil i eksisterende PAC-signaturer.

  • Når hele domenet er oppdatert og alle utestående billetter er utløpt, skal ikke overvåkingshendelsene lenger vises. Deretter skal du kunne flytte til håndhevelsesmodus uten feil.

TRINN 4: AKTIVER 

Aktiver håndhevelsesmodus for å adressere CVE-2022-37967 i miljøet ditt.

  • Når alle overvåkingshendelser er løst og ikke lenger vises, flytter du domenene til håndhevelsesmodus ved å oppdatere registerverdien KrbtgtFullPacSignature , som beskrevet i delen Innstillinger for registernøkkel.

  • Hvis en tjenestebillett har ugyldig PAC-signatur eller mangler PAC-signaturer, mislykkes valideringen, og en feilhendelse logges.

Innstillinger for registernøkkel

Kerberos-protokoll

Når du har installert Windows-oppdateringene som er datert på eller etter 8. november 2022, er følgende registernøkkel tilgjengelig for Kerberos-protokollen:

  • KrbtgtFullPacSignature Denne registernøkkelen brukes til å overføre distribusjonen av Kerberos-endringene. Denne registernøkkelen er midlertidig, og vil ikke lenger bli lest etter den fullstendige håndhevelsesdatoen 10. oktober 2023. 

    Registernøkkel

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Verdi

    KrbtgtFullPacSignature

    Datatype

    REG_DWORD

    Data

    0 – Deaktivert  

    1 – Nye signaturer legges til, men ikke bekreftes. (Standardinnstilling)

    2 – Overvåkingsmodus. Nye signaturer legges til og bekreftes hvis de finnes. Hvis signaturen enten mangler eller er ugyldig, er godkjenning tillatt, og overvåkingslogger opprettes.

    3 – Håndhevelsesmodus. Nye signaturer legges til og bekreftes hvis de finnes. Hvis signaturen enten mangler eller er ugyldig, blir godkjenning avslått og overvåkingslogger opprettes.

    Kreves omstart?

    Nei

    Obs!   Hvis du må endre registerverdien KrbtgtFullPacSignature, legger du til og konfigurerer registernøkkelen manuelt for å overstyre standardverdien.

Windows-hendelser relatert til CVE-2022-37967

I overvåkingsmodus kan du finne én av følgende feil hvis PAC-signaturer mangler eller er ugyldige. Hvis dette problemet vedvarer under håndhevelsesmodus, logges disse hendelsene som feil.

Hvis du finner en av feilene på enheten, er det sannsynlig at alle Windows-domenekontrollere i domenet ikke er oppdatert med en Windows-oppdatering 8. november 2022 eller senere. Hvis du vil redusere problemene, må du undersøke domenet ytterligere for å finne Windows-domenekontrollere som ikke er oppdaterte.  

Obs!   Hvis du finner en feil med hendelses-ID 42, kan du se KB5021131: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37966.

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Hendelses-ID

43

Hendelsestekst

KDC (Key Distribution Center) fant en billett som den ikke kunne validere fullstendig PAC-signatur. Se https://go.microsoft.com/fwlink/?linkid=2210019 for å finne ut mer. Klient: <område>/<navn>

Hendelsesloggen

System

Hendelsestype

Advarsel

Hendelseskilde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Hendelses-ID

44

Hendelsestekst

KDC (Key Distribution Center) fant en billett som ikke inneholdt den fullstendige PAC-signaturen. Se https://go.microsoft.com/fwlink/?linkid=2210019 for å finne ut mer. Klient: <område>/<navn>

Tredjepartsenheter som implementerer Kerberos-protokollen

Domener som har tredjeparts domenekontrollere, kan se feil i håndhevelsesmodus.

Domener med tredjepartsklienter kan ta lengre tid å fjerne overvåkingshendelser etter installasjonen av en Windows-oppdatering 8. november 2022 eller senere.

Kontakt enhetsprodusenten (OEM) eller programvareleverandøren for å finne ut om programvaren er kompatibel med den nyeste protokollendringen.

Hvis du vil ha informasjon om protokolloppdateringer, kan du se emnet Windows Protocol på Microsofts nettsted.

Ordliste

Kerberos er en datamaskin nettverksgodkjenningsprotokoll som fungerer basert på "billetter" for å tillate noder som kommuniserer over et nettverk for å bevise sin identitet til hverandre på en sikker måte.

Kerberos-tjenesten som implementerer godkjennings- og billetttildelingstjenester som er angitt i Kerberos-protokollen. Tjenesten kjører på datamaskiner som er valgt av administratoren for området eller domenet. det finnes ikke på alle maskiner i nettverket. Den må ha tilgang til en kontodatabase for området den tjener. KDCer er integrert i rollen som domenekontroller. Det er en nettverkstjeneste som leverer billetter til klienter for bruk i godkjenning til tjenester.

Privilege Attribute Certificate (PAC) er en struktur som formidler godkjenningsrelatert informasjon levert av domenekontrollere (DCer). Hvis du vil ha mer informasjon, kan du se Privilege Attribute Certificate Data Structure.

En spesiell type billett som kan brukes til å få andre billetter. Billettforespørselen (TGT) hentes etter den første godkjenningen i godkjenningstjenesten (AS)-utvekslingen. deretter trenger ikke brukere å presentere legitimasjonen sin, men kan bruke TGT til å få etterfølgende billetter.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.