Opmerking
- Bijgewerkt
- 10 april 2023: De 'Derde implementatiefase' bijgewerkt van 11 april 2023 tot 13 juni 2023 in de sectie 'Timing van updates om CVE-2022-37967 op te lossen'.
In dit artikel
- Samenvatting
- Timing van updates om CVE-2022-37967 aan te pakken
- Richtlijnen voor implementatie
- Instellingen voor registersleutel
- Windows-gebeurtenissen met betrekking tot CVE-2022-37967
- Apparaten van derden die het Kerberos-protocol implementeren
- Woordenlijst
Samenvatting
De Windows-updates van 8 november 2022 verhelpen beveiligingsproblemen met het omzeilen van beveiliging en misbruik van bevoegdheden met PAC-handtekeningen (Privilege Attribute Certificate). Deze beveiligingsupdate lost Kerberos-beveiligingslekken op waarbij een aanvaller PAC-handtekeningen digitaal kan wijzigen waardoor hun bevoegdheden toenemen.
Om uw omgeving te beveiligen, installeert u deze Windows-update op alle apparaten, inclusief Windows-domeincontrollers. Alle domeincontrollers in uw domein moeten eerst worden bijgewerkt voordat de update wordt overgeschakeld naar de afgedwongen modus.
Zie CVE-2022-37967 voor meer informatie over deze beveiligingslekken.
Actie ondernemen
Om uw omgeving te helpen beschermen en storingen te voorkomen, raden we u aan de volgende stappen uit te voeren:
- WERK uw Windows-domeincontrollers bij met een Windows-update die is uitgebracht op of na 8 november 2022.
- VERPLAATS uw Windows-domeincontrollers naar de controlemodus met behulp van de sectie Registersleutelinstelling .
- MONITOR-gebeurtenissen die worden opgeslagen tijdens de controlemodus om uw omgeving te beveiligen.
- INSCHAKELEN Afdwingingsmodus om CVE-2022-37967 in uw omgeving aan te pakken.
Notitie Stap 1 van het installeren van updates die zijn uitgebracht op of na 8 november 2022, lost de beveiligingsproblemen in CVE-2022-37967 voor Windows-apparaten standaard NIET op. Als u het beveiligingsprobleem voor alle apparaten volledig wilt verhelpen, moet u zo snel mogelijk overschakelen naar de controlemodus (beschreven in stap 2), gevolgd door de afgedwongen modus (beschreven in stap 4) op alle Windows-domeincontrollers.
Belangrijk Vanaf juli 2023 wordt de afdwingingsmodus ingeschakeld op alle Windows-domeincontrollers en worden kwetsbare verbindingen van niet-compatibele apparaten geblokkeerd. Op dat moment kunt u de update niet uitschakelen, maar gaat u mogelijk terug naar de instelling Controlemodus. De controlemodus wordt in oktober 2023 verwijderd, zoals wordt beschreven in de sectie Timing van updates om Kerberos-kwetsbaarheid CVE-2022-37967 op te lossen .
Timing van updates om CVE-2022-37967 aan te pakken
Updates worden in fasen uitgebracht: de eerste fase voor updates die op of na 8 november 2022 zijn uitgebracht en de handhavingsfase voor updates die op of na 13 juni 2023 zijn uitgebracht.
8 november 2022 - Eerste implementatiefase
De eerste implementatiefase begint met de updates die zijn uitgebracht op 8 november 2022 en gaat door met latere Windows-updates tot de afdwingingsfase. Met deze update worden handtekeningen toegevoegd aan de Kerberos PAC-buffer, maar er wordt niet gecontroleerd op handtekeningen tijdens de verificatie. De beveiligde modus is dus standaard uitgeschakeld.
Deze update:
- Hiermee voegt u PAC-handtekeningen toe aan de Kerberos PAC-buffer.
- Voegt maatregelen toe om beveiligingslekken met betrekking tot het omzeilen van de beveiliging in het Kerberos-protocol op te lossen.
13 december 2022 - Tweede implementatiefase
De tweede implementatiefase begint met updates die zijn uitgebracht op 13 december 2022. Deze en latere updates brengen wijzigingen aan in het Kerberos-protocol om Windows-apparaten te controleren door Windows-domeincontrollers naar de controlemodus te verplaatsen.
Met deze update bevinden alle apparaten zich standaard in de controlemodus:
- Als de handtekening ontbreekt of ongeldig is, is verificatie toegestaan. Bovendien wordt er een auditlogboek gemaakt.
- Als de handtekening ontbreekt, dient u een gebeurtenis in en staat u de verificatie toe.
- Als de handtekening aanwezig is, valideert u deze. Als de handtekening onjuist is, genereert u een gebeurtenis en staat u de verificatie toe.
13 juni 2023 - Derde implementatiefase
De Windows-updates die op of na 13 juni 2023 zijn uitgebracht, doen het volgende:
- Verwijder de mogelijkheid om het toevoegen van PAC-handtekeningen uit te schakelen door de subsleutel KrbtgtFullPacSignature in te stellen op de waarde 0.
11 juli 2023 - Eerste handhavingsfase
De Windows-updates die op of na 11 juli 2023 zijn uitgebracht, doen het volgende:
- Verwijdert de mogelijkheid om waarde 1 in te stellen voor de subsleutel KrbtgtFullPacSignature .
- Hiermee wordt de update verplaatst naar de afdwingingsmodus (standaard) (KrbtgtFullPacSignature = 3), die kan worden overschreven door een beheerder met een expliciete controle-instelling.
10 oktober 2023 - Volledige handhavingsfase
De Windows-updates die zijn uitgebracht op of na 10 oktober 2023, doen het volgende:
- Verwijdert de ondersteuning voor de registersubsleutel KrbtgtFullPacSignature.
- Verwijdert ondersteuning voor de controlemodus.
- Verificatie wordt geweigerd voor alle servicetickets zonder de nieuwe PAC-handtekeningen.
Richtlijnen voor implementatie
Voer de volgende stappen uit om de Windows-updates van 8 november 2022 of latere Windows-updates te implementeren:
- WERK uw Windows-domeincontrollers bij met een update die is uitgebracht op of na 8 november 2022.
- VERPLAATS uw domeincontrollers naar de controlemodus met behulp van de sectie Registersleutelinstelling .
- MONITOR-gebeurtenissen die worden opgeslagen tijdens de controlemodus om uw omgeving te beveiligen.
- INSCHAKELEN Afdwingingsmodus om CVE-2022-37967 in uw omgeving aan te pakken.
STAP 1: BIJWERKEN
Implementeer de updates van 8 november 2022 of later naar alle toepasselijke Windows-domeincontrollers (DC's). Na de implementatie van de update worden voor Windows-domeincontrollers die zijn bijgewerkt, handtekeningen toegevoegd aan de Kerberos PAC-buffer en zijn deze standaard onveilig (PAC-handtekening wordt niet gevalideerd).
- Zorg er tijdens het bijwerken voor dat de registerwaarde KrbtgtFullPacSignature in de standaardstatus blijft totdat alle Windows-domeincontrollers zijn bijgewerkt.
STAP 2: VERPLAATSEN
Wanneer de Windows-domeincontrollers zijn bijgewerkt, schakelt u over naar de controlemodus door de waarde KrbtgtFullPacSignature te wijzigen in 2.
STAP 3: ZOEKEN/BEWAKEN
Identificeer gebieden waar PAC-handtekeningen ontbreken of die PAC-handtekeningen hebben die niet kunnen worden gevalideerd via de gebeurtenislogboeken die tijdens de controlemodus worden geactiveerd.
- Zorg ervoor dat het functionaliteitsniveau van het domein is ingesteld op ten minste 2008 of hoger voordat u overgaat naar de afdwingingsmodus. Als naar de afdwingingsmodus wordt overgeschakeld met domeinen die op het functionele niveau van het 2003-domein vallen, kunnen er verificatiefouten optreden.
- Controlegebeurtenissen worden weergegeven als uw domein niet volledig is bijgewerkt of als er nog openstaande servicetickets in uw domein zijn.
- Doorgaan met controleren op aanvullende gebeurtenislogboeken die aangeven dat PAC-handtekeningen ontbreken of dat bestaande PAC-handtekeningen zijn gevalideerd.
- Nadat het hele domein is bijgewerkt en alle openstaande tickets zijn verlopen, moeten de controlegebeurtenissen niet meer worden weergegeven. Vervolgens moet u zonder fouten naar de afdwingingsmodus kunnen gaan.
STAP 4: INSCHAKELEN
Schakel de afdwingingsmodus in om CVE-2022-37967 in uw omgeving aan te pakken.
- Zodra alle controlegebeurtenissen zijn opgelost en niet meer worden weergegeven, verplaatst u uw domeinen naar de afdwingingsmodus door de registerwaarde KrbtgtFullPacSignature bij te werken zoals is beschreven in de sectie Registersleutelinstellingen .
- Als een serviceticket een ongeldige PAC-handtekening heeft of als er PAC-handtekeningen ontbreken, mislukt de validatie en wordt er een fout geregistreerd.
Instellingen voor registersleutel
Kerberos-protocol
Na het installeren van de Windows-updates die dateren van op of na 8 november 2022, is de volgende registersleutel beschikbaar voor het Kerberos-protocol:
KrbtgtFullPacSignature
Deze registersleutel wordt gebruikt om de implementatie van de Kerberos-wijzigingen te poorten. Deze registersleutel is tijdelijk en wordt niet meer gelezen na de volledige handhavingsdatum van 10 oktober 2023.
Registersleutel HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc Waarde KrbtgtFullPacSignature Gegevenstype REG_DWORD Gegevens 0 – Uitgeschakeld
Nieuwe handtekeningen worden toegevoegd, maar niet geverifieerd. (Standaardinstelling)
2 - Controlemodus. Nieuwe handtekeningen worden toegevoegd en indien aanwezig gecontroleerd. Als de handtekening ontbreekt of ongeldig is, wordt verificatie toegestaan en worden er controlelogboeken gemaakt.
3 - Afdwingingsmodus. Nieuwe handtekeningen worden toegevoegd en indien aanwezig gecontroleerd. Als de handtekening ontbreekt of ongeldig is, wordt verificatie geweigerd en worden er controlelogboeken gemaakt.Opnieuw opstarten vereist? Nee Notitie Als u de registerwaarde KrbtgtFullPacSignature moet wijzigen, voegt u handmatig de registersleutel toe en configureert u deze vervolgens om de standaardwaarde te vervangen.
Windows-gebeurtenissen met betrekking tot CVE-2022-37967
In de controlemodus kan een van de volgende fouten optreden als PAC-handtekeningen ontbreken of ongeldig zijn. Als dit probleem zich blijft voordoen in de afdwingingsmodus, worden deze gebeurtenissen geregistreerd als fouten.
Als je een van beide fouten op je apparaat vindt, is het waarschijnlijk dat alle Windows-domeincontrollers in je domein niet up-to-date zijn met een Windows-update van 8 november 2022 of later. Om de problemen te beperken, moet u uw domein verder onderzoeken om Windows-domeincontrollers te vinden die niet up-to-date zijn.
Notitie Als u een fout vindt met gebeurtenis-ID 42, raadpleegt u KB5021131: De Kerberos-protocolwijzigingen met betrekking tot CVE-2022-37966 beheren.
Volledige PAC-handtekening is mislukt
| Gebeurtenislogboek | Systeem |
|---|---|
| Gebeurtenistype | Waarschuwing |
| Bron van gebeurtenis | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Gebeurtenis-id | 43 |
| Tekst van gebeurtenis | Het Key Distribution Center (KDC) heeft een ticket aangetroffen waarvan het de volledige PAC-handtekening. Zie https://go.microsoft.com/fwlink/?linkid=2210019 voor meer informatie. Client : <realm>/<Name> |
Volledige PAC-handtekening ontbreekt
| Gebeurtenislogboek | Systeem |
|---|---|
| Type gebeurtenis | Waarschuwing |
| Bron van gebeurtenis | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Gebeurtenis-id | 44 |
| Tekst van gebeurtenis | Het Key Distribution Center (KDC) heeft een ticket aangetroffen dat niet de volledige PAC-handtekening bevatte. Zie https://go.microsoft.com/fwlink/?linkid=2210019 voor meer informatie. Client : <realm>/<Name> |
Apparaten van derden die het Kerberos-protocol implementeren
Domeinen met domeincontrollers van derden kunnen fouten zien in de afdwingingsmodus.
Het kan langer duren voordat domeinen met externe clients volledig zijn gewist van controlegebeurtenissen na de installatie van een Windows-update van 8 november 2022 of later.
Neem contact op met de fabrikant (OEM) van het apparaat of de softwareleverancier om te bepalen of hun software compatibel is met de meest recente protocolwijziging.
Zie het onderwerp Windows Protocol op de website van Microsoft voor meer informatie over protocolupdates.
Woordenlijst
Kerberos
Kerberos is een authenticatieprotocol voor computernetwerken dat werkt op basis van 'tickets', zodat knooppunten die via een netwerk communiceren hun identiteit op een veilige manier kunnen bewijzen.
Key Distribution Center (KDC)
De Kerberos-service waarmee de authenticatie- en ticketverleningsservices worden geïmplementeerd die zijn gespecificeerd in het Kerberos-protocol. De service draait op computers die zijn geselecteerd door de beheerder van het domein of domein; Het is niet op elke computer in het netwerk aanwezig. Het moet toegang hebben tot een accountdatabase voor het domein dat het bedient. KDC's zijn geïntegreerd in de rol domeincontroller . Het is een netwerkservice die tickets levert aan clients voor gebruik bij authenticatie bij services.
Privilege Attribute Certificate (PAC)
Privilege Attribute Certificate (PAC) is een structuur die autorisatiegerelateerde informatie overbrengt die wordt geleverd door domeincontrollers (DC's). Zie Privilege Attribute Certificate Data Structure (Bevoegdheidskenmerk Certificaatgegevensstructuur) voor meer informatie.
Ticket voor toekenning van tickets
Een speciaal type ticket dat kan worden gebruikt om andere tickets te verkrijgen. Het Ticket-granting Ticket (TGT) wordt verkregen na de eerste authenticatie in de Authentication Service (AS) uitwisseling; daarna hoeven gebruikers hun inloggegevens niet meer te tonen, maar kunnen ze de TGT gebruiken om volgende tickets te verkrijgen.