Oppsummering
Windows-sikkerhetsoppdateringene som ble utgitt 9. april 2024, løser sikkerhetsproblemer med sikkerhetsproblemer med Kerberos PAC Validation Protocol. Privilege Attribute Certificate (PAC) er en utvidelse til Kerberos-tjenestebilletter. Den inneholder informasjon om godkjenning av brukeren og deres rettigheter. Denne oppdateringen løser et sikkerhetsproblem der brukeren av prosessen kan forfalske signaturen for å omgå sikkerhetskontroller for PAC-signaturvalidering som er lagt til i KB5020805: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37967.
Hvis du vil lære mer om disse sikkerhetsproblemene, kan du gå til CVE-2024-26248 og CVE-2024-29056.
Utfør handling
VIKTIGTrinn 1 for å installere oppdateringen som ble utgitt 9. april 2024, løser IKKE sikkerhetsproblemene i CVE-2024-26248 og CVE-2024-29056 som standard. Hvis du vil redusere sikkerhetsproblemet for alle enheter fullt ut, må du flytte til fremtvunget modus (beskrevet i trinn 3) når miljøet er fullstendig oppdatert.
Vi anbefaler følgende fremgangsmåte for å beskytte miljøet og forhindre avbrudd:
-
OPPDATERINGEN: Windows-domenekontrollere og Windows-klienter må oppdateres med en Windows-sikkerhetsoppdatering utgitt 9. april 2024.
-
SKJERM: Overvåkingshendelser vil være synlige i kompatibilitetsmodus for å identifisere enheter som ikke er oppdatert.
-
AKTIVERER: Etter at håndhevelsesmodus er fullstendig aktivert i miljøet ditt, vil sikkerhetsproblemene som er beskrevet i CVE-2024-26248 og CVE-2024-29056 , bli redusert.
Bakgrunn
Når en Windows-arbeidsstasjon utfører PAC-validering på en innkommende Kerberos-godkjenningsflyt, utfører den en ny forespørsel (nettverksbillettpålogging) for å validere tjenestebilletten. Forespørselen videresendes først til en domenekontroller (DC) av Workstations-domenet via Netlogon.
Hvis tjenestekontoen og datamaskinkontoen tilhører forskjellige domener, overføres forespørselen på tvers av de nødvendige klareringene gjennom Netlogon til den når tjenestedomenet. Hvis ikke utfører domenet dc i datamaskinkontodomenet valideringen. DC kaller deretter Key Distribution Center (KDC) for å validere PAC-signaturene til tjenestebilletten og sender bruker- og enhetsinformasjon tilbake til arbeidsstasjonen.
Hvis forespørselen og svaret videresendes på tvers av en klarering (i tilfelle der tjenestekontoen og workstation-kontoen tilhører forskjellige domener), filtrerer hver DC på tvers av klareringsautorisasjonsdataene som gjelder den.
Tidslinje for endringer
Oppdateringer utgis som følger. Vær oppmerksom på at denne lanseringsplanen kan bli revidert etter behov.
Den første distribusjonsfasen starter med oppdateringene som ble utgitt 9. april 2024. Denne oppdateringen legger til ny virkemåte som forhindrer sikkerhetsproblemer med rettighetsutvidelser som er beskrevet i CVE-2024-26248 og CVE-2024-29056 , men som ikke håndhever den med mindre både Windows-domenekontrollere og Windows-klienter i miljøet oppdateres.
Hvis du vil aktivere den nye virkemåten og redusere sikkerhetsproblemene, må du sørge for at hele Windows-miljøet (inkludert både domenekontrollere og klienter) er oppdatert. Overvåkingshendelser logges for å identifisere enheter som ikke er oppdatert.
Oppdateringer utgitt 15. oktober 2024, flytter alle Windows-domenekontrollere og -klienter i miljøet til fremtvunget modus ved å endre innstillingene for registerundernøkkelen til PacSignatureValidationLevel=3 og CrossDomainFilteringLevel=4, noe som håndhever den sikre virkemåten som standard.
Innstillingene som håndheves av standardinnstillingene , kan overstyres av en administrator for å gå tilbake til kompatibilitetsmodus .
Windows-sikkerhetsoppdateringene som ble utgitt 8. april 2025, vil fjerne støtte for registerundernøklene PacSignatureValidationLevel og CrossDomainFilteringLevel og håndheve den nye sikre virkemåten. Det vil ikke være støtte for kompatibilitetsmodus når du har installert denne oppdateringen.
Potensielle problemer og begrensninger
Det finnes potensielle problemer som kan oppstå, inkludert PAC-validering og kryssskogfiltreringsfeil. 9. april 2024 inkluderer sikkerhetsoppdateringen tilbakefallslogikk og registerinnstillinger for å bidra til å redusere disse problemene
Registerinnstillinger
Denne sikkerhetsoppdateringen tilbys windows-enheter (inkludert domenekontrollere). Følgende registernøkler som kontrollerer virkemåten, trenger bare å distribueres til Kerberos-serveren som godtar innkommende Kerberos-godkjenning og utfører PAC-validering.
|
Registerundernøkkel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Verdi |
PacSignatureValidationLevel |
|
|
Datatype |
REG_DWORD |
|
|
Data |
2. |
Standard (kompatibilitet med ikke-oppdatert miljø) |
|
3 |
Håndheve |
|
|
Må du starte på nytt? |
Nei |
|
|
Registerundernøkkel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Verdi |
CrossDomainFilteringLevel |
|
|
Datatype |
REG_DWORD |
|
|
Data |
2. |
Standard (kompatibilitet med ikke-oppdatert miljø) |
|
4 |
Håndheve |
|
|
Må du starte på nytt? |
Nei |
|
Denne registernøkkelen kan distribueres til begge Windows-servere som godtar innkommende Kerberos-godkjenning, i tillegg til alle Windows-domenekontrollere som validerer den nye påloggingsflyten for nettverksbillett underveis.
|
Registerundernøkkel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Verdi |
AuditKerberosTicketLogonEvents |
|
|
Datatype |
REG_DWORD |
|
|
Data |
1 |
Standard – loggfør kritiske hendelser |
|
2. |
Logg alle netlogon-hendelser |
|
|
0 |
Ikke loggfør Netlogon-hendelser |
|
|
Må du starte på nytt? |
Nei |
|
Hendelseslogger
Følgende Kerberos-overvåkingshendelser genereres på Kerberos-serveren som godtar innkommende Kerberos-godkjenning. Kerberos-serveren utfører PAC-validering, som bruker den nye påloggingsflyten for nettverksbillett.
|
Hendelseslogg |
System |
|
Hendelsestype |
Informativ |
|
Hendelseskilde |
Security-Kerberos |
|
Hendelses-ID |
21 |
|
Hendelsestekst |
Under kerberos nettverksbillettpålogging hadde tjenestebilletten for konto <konto> fra Domain <Domain> følgende handlinger gjort av DC <Domain Controller>. Hvis du vil ha mer informasjon, kan du gå til https://go.microsoft.com/fwlink/?linkid=2262558. |
Denne hendelsen vises når en domenekontroller gjorde en ikke-kritisk handling under en påloggingsflyt for nettverksbillett. Per nå logges følgende handlinger:
-
Bruker-SIDer ble filtrert.
-
Enhets-SIDer ble filtrert.
-
Sammensatt identitet ble fjernet på grunn av at SID-filtrering ikke forbyr enhetens identitet.
-
Sammensatt identitet ble fjernet på grunn av at SID-filtrering ikke forbyr enhetens domenenavn.
|
Hendelseslogg |
System |
|
Hendelsestype |
Feil |
|
Hendelseskilde |
Security-Kerberos |
|
Hendelses-ID |
22 |
|
Hendelsestekst |
Under kerberos nettverksbillettpålogging ble tjenestebilletten for konto <konto> fra Domain <Domain> avslått av DC <DC> av årsakene nedenfor. Hvis du vil ha mer informasjon, kan du gå til https://go.microsoft.com/fwlink/?linkid=2262558. |
Denne hendelsen vises når en domenekontroller avslo forespørselen om nettverksbillettpålogging av årsakene som vises i hendelsen.
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel eller feil |
|
Hendelseskilde |
Security-Kerberos |
|
Hendelses-ID |
23 |
|
Hendelsestekst |
Under kerberos nettverksbillettpålogging kunne ikke tjenestebilletten for konto <account_name> fra domenet <domain_name> videresendes til en domenekontroller for å betjene forespørselen. Hvis du vil ha mer informasjon, kan du gå til https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Denne hendelsen vises som en advarsel hvis PacSignatureValidationLevel OG CrossDomainFilteringLevel ikke er satt til Enforce eller stricter. Når den logges som en advarsel, indikerer hendelsen at påloggingsflytene for nettverksbillett kontaktet en domenekontroller eller tilsvarende enhet som ikke forsto den nye mekanismen. Godkjenningen fikk tillatelse til å falle tilbake til tidligere virkemåte.
-
Denne hendelsen vises som en feil hvis PacSignatureValidationLevel ELLER CrossDomainFilteringLevel er satt til Enforce eller stricter. Denne hendelsen som «feil» indikerer at påloggingsflyten for nettverksbillett kontaktet en domenekontroller eller tilsvarende enhet som ikke forsto den nye mekanismen. Godkjenningen ble avslått, og kan ikke falle tilbake til tidligere virkemåte.
|
Hendelseslogg |
System |
|
Hendelsestype |
Feil |
|
Hendelseskilde |
Netlogon |
|
Hendelses-ID |
5842 |
|
Hendelsestekst |
Netlogon-tjenesten oppdaget en uventet feil under behandling av en Kerberos-påloggingsforespørsel for nettverksbillett. Hvis du vil ha mer informasjon, kan du gå til https://go.microsoft.com/fwlink/?linkid=2261497. Tjenestebillettkonto: <konto> Domene for tjenestebillett: <domain> Navn på arbeidsstasjon: <maskinnavn> Status: <feilkode> |
Denne hendelsen genereres når Netlogon oppdaget en uventet feil under en påloggingsforespørsel for nettverksbillett. Denne hendelsen logges når AuditKerberosTicketLogonEvents er satt til (1) eller høyere.
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Netlogon |
|
Hendelses-ID |
5843 |
|
Hendelsestekst |
Netlogon-tjenesten kan ikke videresende en kerberos-påloggingsforespørsel for nettverksbillett til domenekontrolleren <DC->. Hvis du vil ha mer informasjon, kan du gå til https://go.microsoft.com/fwlink/?linkid=2261497. Tjenestebillettkonto: <konto> Domene for tjenestebillett: <domain> Navn på arbeidsstasjon: <maskinnavn> |
Denne hendelsen genereres når Netlogon ikke kunne fullføre nettverksbillettpåloggingen fordi en domenekontroller ikke forsto endringene. På grunn av begrensninger i Netlogon-protokollen kan ikke Netlogon-klienten fastslå om domenekontrolleren som Netlogon-klienten snakker med direkte, er den som ikke forstår endringene, eller om det er en domenekontroller langs videresendingskjeden som ikke forstår endringene.
-
Hvis domenet for tjenestebillett er det samme som maskinkontoens domene, er det sannsynlig at domenekontrolleren i hendelsesloggen ikke forstår påloggingsflyten for nettverksbillett.
-
Hvis domenet for tjenestebilletten er forskjellig fra maskinkontoens domene, forsto ikke en av domenekontrolleren underveis fra domenet for maskinkontoen til tjenestekontoens domene at påloggingsflyten for nettverksbillett
Denne hendelsen er deaktivert som standard. Microsoft anbefaler at brukerne først oppdaterer hele flåten før arrangementet slås på.
Denne hendelsen logges når AuditKerberosTicketLogonEvents er satt til (2).
Vanlige spørsmål
En domenekontroller som ikke er oppdatert, gjenkjenner ikke denne nye forespørselsstrukturen. Dette vil føre til at sikkerhetskontrollen mislykkes. I kompatibilitetsmodus brukes den gamle forespørselsstrukturen. Dette scenarioet er fortsatt sårbart for CVE-2024-26248 og CVE-2024-29056.
Ja. Dette er fordi den nye påloggingsflyten for nettverksbillett må rutes på tvers av domener for å nå domenet til tjenestekontoen.
PAC-validering kan hoppes over i visse tilfeller, inkludert, men ikke begrenset til, følgende scenarioer:
-
Hvis tjenesten har TCB-rettighet. Vanligvis har tjenester som kjører under systemkontoen (for eksempel SMB-fildelinger eller LDAP-servere) denne rettigheten.
-
Hvis tjenesten kjøres fra Oppgaveplanlegging.
Ellers utføres PAC-validering på alle innkommende Kerberos-godkjenningsflyter.
Disse CV-ene involverer en lokal rettighetsheving der en ondsinnet eller kompromittert tjenestekonto som kjører på Windows Workstation, forsøker å heve tilgangen for å få lokale administrasjonsrettigheter. Dette betyr at bare Windows Workstation som godtar innkommende Kerberos-godkjenning, påvirkes.
