Samenvatting

De updates van 11 januari 2022, Windows updates en latere Windows-updates bieden bescherming voor CVE-2022-21913.

Nadat u de updates van 11 januari 2022, Windows of hoger Windows-updates hebt geïnstalleerd, wordt AES-versleuteling (Advanced Encryption Standard) ingesteld als de voorkeursversleutelingsmethode op Windows-clients wanneer u het oudere MS-LSAD-protocol (Local Security Authority) (Domain Policy) (MS-LSAD) gebruikt voor wachtwoordbewerkingen voor vertrouwde domeinobjecten die via een netwerk worden verzonden. Dit geldt alleen als AES-versleuteling wordt ondersteund door de server. Als AES-versleuteling niet wordt ondersteund door de server, staat het systeem terugval toe aan de oudere RC4-versleuteling.

Wijzigingen in CVE-2022-21913 zijn specifiek voor het MS-LSAD-protocol. Ze zijn onafhankelijk van andere protocollen. MS-LSAD gebruikt Server Message Block (SMB) via externe procedureoproep
(RPC) en benoemde pijpen. Hoewel SMB ook versleuteling ondersteunt, is deze standaard niet ingeschakeld. De wijzigingen in CVE-2022-21913 zijn standaard ingeschakeld en bieden extra beveiliging op de LSAD-laag. Er zijn geen aanvullende configuratiewijzigingen vereist, behalve het installeren van de beveiligingen voor CVE-2022-21913 die zijn opgenomen in de updates van 11 januari 2022, Windows en latere Windows-updates voor alle ondersteunde versies van Windows. Niet-ondersteunde versies van Windows moeten worden stopgezet of geüpgraded naar een ondersteunde versie. 

Opmerking CVE-2022-21913 wijzigt alleen de manier waarop vertrouwenswachtwoorden onderweg worden versleuteld wanneer u specifieke API's van het MS-LSAD-protocol gebruikt en in het bijzonder niet wijzigt hoe wachtwoorden in rust worden opgeslagen. Zie Technisch overzicht wachtwoorden voor meer informatie over hoe wachtwoorden worden versleuteld in Active Directory en lokaal in de SAM-database (register). 

Meer informatie

Wijzigingen aangebracht per 11 januari 2022, updates 

Hoe het nieuwe gedrag werkt

De bestaande methode LsarOpenPolicy2 wordt meestal gebruikt om een contextgreep te openen voor de RPC-server. Dit is de eerste functie die moet worden aangeroepen om contact op te nemen met de database Extern protocol van de lokale beveiligingsinstantie (Domeinbeleid). Nadat u deze updates hebt geïnstalleerd, wordt de methode LsarOpenPolicy2 vervangen door de nieuwe methode LsarOpenPolicy3. 

Een bijgewerkte client die de LsaOpenPolicy-API aanroept, belt nu eerst de LsarOpenPolicy3-methode. Als de server niet wordt bijgewerkt en de methode LsarOpenPolicy3 niet implementeert, gaat de client terug naar de LsarOpenPolicy2-methode en worden de vorige methoden gebruikt die RC4-versleuteling gebruiken. 

Een bijgewerkte server retourneert een nieuwe bit in de LsarOpenPolicy3-methoderespons, zoals gedefinieerd in LSAPR_REVISION_INFO_V1. Zie de secties 'AES Cipher Usage' en 'LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES' in MS-LSADvoor meer informatie.

Als de server AES ondersteunt, gebruikt de client de nieuwe methoden en nieuwe informatieklassen voor de volgende vertrouwde domeinbewerkingen 'maken' en 'instellen'. Als de server deze vlag niet retournt of als de client niet wordt bijgewerkt, gaat de client terug naar de vorige methoden die RC4-versleuteling gebruiken. 

Logboekregistratie voor gebeurtenissen

De updates van 11 januari 2022 voegen een nieuwe gebeurtenis toe aan het beveiligingsgebeurtenislogboek om apparaten te identificeren die niet worden bijgewerkt en om de beveiliging te verbeteren. 

Waarde

Betekenis

Gebeurtenisbron

Microsoft-Windows-Security 

Gebeurtenis-id

6425

Niveau 

Informatie

Tekst van gebeurtenisbericht

Een netwerkclient heeft een oudere RPC-methode gebruikt om verificatiegegevens voor een vertrouwd domeinobject te wijzigen. De verificatiegegevens zijn versleuteld met een oudere versleutelingsalgoritme. Overweeg het clientbesturingssysteem of de toepassing te upgraden om de nieuwste en veiligere versie van deze methode te gebruiken. 

Vertrouwd domein: 

  • Domeinnaam:
    Domein-id:

Gewijzigd door: 

  • Beveiligings-id:
    Accountnaam:
    Accountdomein:
    Aanmeldings-id:

Clientnetwerkadres:
RPC-methodenaam: 

Ga voor meer informatie naar https://go.microsoft.com/fwlink/?linkid=2161080.

Veelgestelde vragen (veelgestelde vragen) 

Q1: Welke scenario's leiden tot een downgrade van AES naar RC4? 

A1: Een downgrade vindt plaats als de server of client geen ondersteuning biedt voor AES.    

Q2: Hoe weet ik of er is onderhandeld over RC4-versleuteling of AES-versleuteling? 

A2: Bijgewerkte servers logen gebeurtenis 6425 wanneer oudere methoden die RC4 gebruiken, worden gebruikt.  

Q3: Kan ik AES-versleuteling op de server vereisen en worden toekomstige updates Windows programmatisch afdwingen met behulp van AES? 

A3: Er is momenteel geen afdwingingsmodus beschikbaar. Er kan echter in de toekomst een wijziging zijn, hoewel er geen dergelijke wijziging is gepland. 

Q4: Ondersteunen clients van derden beveiligingen voor CVE-2022-21913 om te onderhandelen over AES wanneer deze door de server worden ondersteund? Moet ik contact opnemen met Microsoft Support of het ondersteuningsteam van derden om deze vraag te beantwoorden?   

A4: Als een apparaat of toepassing van derden het MS-LSAD-protocol niet gebruikt, is dit niet belangrijk. Externe leveranciers die het MS-LSAD-protocol implementeren, kunnen ervoor kiezen om dit protocol te implementeren. Neem voor meer informatie contact op met de externe leverancier.  

V5: Moeten er aanvullende configuratiewijzigingen worden aangebracht?  

A5: Er zijn geen extra configuratiewijzigingen nodig.  

V6: Wat gebruikt dit protocol?   

A6: Het MS-LSAD-protocol wordt gebruikt door veel Windows onderdelen, waaronder Active Directory en hulpprogramma's zoals de Active Directory Domains and Trusts-console. Toepassingen kunnen dit protocol ook gebruiken via advapi32-bibliotheek-API's, zoals LsaOpenPolicy of LsaCreateTrustedDomainEx.

Gerelateerde documentatie

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×