Samenvatting
De updates van 11 januari 2022, Windows updates en latere Windows-updates bieden bescherming voor CVE-2022-21913.
Nadat u de updates van 11 januari 2022, Windows of hoger Windows-updates hebt geïnstalleerd, wordt AES-versleuteling (Advanced Encryption Standard) ingesteld als de voorkeursversleutelingsmethode op Windows-clients wanneer u het oudere MS-LSAD-protocol (Local Security Authority) (Domain Policy) (MS-LSAD) gebruikt voor wachtwoordbewerkingen voor vertrouwde domeinobjecten die via een netwerk worden verzonden. Dit geldt alleen als AES-versleuteling wordt ondersteund door de server. Als AES-versleuteling niet wordt ondersteund door de server, staat het systeem terugval toe aan de oudere RC4-versleuteling.
Wijzigingen in CVE-2022-21913 zijn specifiek voor het MS-LSAD-protocol. Ze zijn onafhankelijk van andere protocollen. MS-LSAD gebruikt Server Message Block (SMB) via externe procedureoproep
(RPC) en benoemde pijpen. Hoewel SMB ook versleuteling ondersteunt, is deze standaard niet ingeschakeld. De wijzigingen in CVE-2022-21913 zijn standaard ingeschakeld en bieden extra beveiliging op de LSAD-laag. Er zijn geen aanvullende configuratiewijzigingen vereist, behalve het installeren van de beveiligingen voor CVE-2022-21913 die zijn opgenomen in de updates van 11 januari 2022, Windows en latere Windows-updates voor alle ondersteunde versies van Windows. Niet-ondersteunde versies van Windows moeten worden stopgezet of geüpgraded naar een ondersteunde versie.
Opmerking CVE-2022-21913 wijzigt alleen de manier waarop vertrouwenswachtwoorden onderweg worden versleuteld wanneer u specifieke API's van het MS-LSAD-protocol gebruikt en in het bijzonder niet wijzigt hoe wachtwoorden in rust worden opgeslagen. Zie Technisch overzicht wachtwoorden voor meer informatie over hoe wachtwoorden worden versleuteld in Active Directory en lokaal in de SAM-database (register).
Meer informatie
Wijzigingen aangebracht per 11 januari 2022, updates
-
Beleidsobjectpatroon
Met de updates wordt het patroon van het beleidsobject van het protocol gewijzigd door een nieuwe methode voor open beleid toe te voegen waarmee de client en server informatie over AES-ondersteuning kunnen delen.Oude methode met RC4
Nieuwe methode met AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
-
Vertrouwd domeinobjectpatroon
Met de updates wordt het patroon Voor het maken van vertrouwde domeinobjecten van het protocol gewijzigd door een nieuwe methode toe te voegen waarmee een vertrouwen wordt gemaakt dat AES gebruikt om verificatiegegevens te versleutelen.
De LsaCreateTrustedDomainEx-API geeft nu de voorkeur aan de nieuwe methode als de client en server worden bijgewerkt en anders terugvallen op de oudere methode.
Oude methode met RC4
Nieuwe methode met AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
De updates wijzigen het patroon van de set met vertrouwde domeinobjecten van het protocol door twee nieuwe vertrouwde informatieklassen toe te voegen aan de LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). U kunt vertrouwde domeinobjectgegevens als volgt instellen.
Oude methode met RC4
Nieuwe methode met AES
LsarSetInformationTrustedDomain (Opnum 27) samen met TrustedDomainAuthInformationInternal of TrustedDomainFullInformationInternal (bevat een versleuteld vertrouwenswachtwoord dat RC4 gebruikt)
LsarSetInformationTrustedDomain (Opnum 27) samen met TrustedDomainAuthInformationInternalAes of TrustedDomainFullInformationAes (bevat een versleuteld vertrouwenswachtwoord dat AES gebruikt)
LsarSetTrustedDomainInfoByName (Opnum 49) samen met TrustedDomainAuthInformationInternal of TrustedDomainFullInformationInternal (bevat een versleuteld vertrouwenswachtwoord met RC4 en alle andere kenmerken)
LsarSetTrustedDomainInfoByName (Opnum 49) samen met TrustedDomainAuthInformationInternalAes of TrustedDomainFullInformationInternalAes (bevat een versleuteld vertrouwenswachtwoord met AES en alle andere kenmerken)
Hoe het nieuwe gedrag werkt
De bestaande methode LsarOpenPolicy2 wordt meestal gebruikt om een contextgreep te openen voor de RPC-server. Dit is de eerste functie die moet worden aangeroepen om contact op te nemen met de database Extern protocol van de lokale beveiligingsinstantie (Domeinbeleid). Nadat u deze updates hebt geïnstalleerd, wordt de methode LsarOpenPolicy2 vervangen door de nieuwe methode LsarOpenPolicy3.
Een bijgewerkte client die de LsaOpenPolicy-API aanroept, belt nu eerst de LsarOpenPolicy3-methode. Als de server niet wordt bijgewerkt en de methode LsarOpenPolicy3 niet implementeert, gaat de client terug naar de LsarOpenPolicy2-methode en worden de vorige methoden gebruikt die RC4-versleuteling gebruiken.
Een bijgewerkte server retourneert een nieuwe bit in de LsarOpenPolicy3-methoderespons, zoals gedefinieerd in LSAPR_REVISION_INFO_V1. Zie de secties 'AES Cipher Usage' en 'LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES' in MS-LSADvoor meer informatie.
Als de server AES ondersteunt, gebruikt de client de nieuwe methoden en nieuwe informatieklassen voor de volgende vertrouwde domeinbewerkingen 'maken' en 'instellen'. Als de server deze vlag niet retournt of als de client niet wordt bijgewerkt, gaat de client terug naar de vorige methoden die RC4-versleuteling gebruiken.
Logboekregistratie voor gebeurtenissen
De updates van 11 januari 2022 voegen een nieuwe gebeurtenis toe aan het beveiligingsgebeurtenislogboek om apparaten te identificeren die niet worden bijgewerkt en om de beveiliging te verbeteren.
|
Waarde |
Betekenis |
|---|---|
|
Gebeurtenisbron |
Microsoft-Windows-Security |
|
Gebeurtenis-id |
6425 |
|
Niveau |
Informatie |
|
Tekst van gebeurtenisbericht |
Een netwerkclient heeft een oudere RPC-methode gebruikt om verificatiegegevens voor een vertrouwd domeinobject te wijzigen. De verificatiegegevens zijn versleuteld met een oudere versleutelingsalgoritme. Overweeg het clientbesturingssysteem of de toepassing te upgraden om de nieuwste en veiligere versie van deze methode te gebruiken. Vertrouwd domein:
Gewijzigd door:
Clientnetwerkadres: Ga voor meer informatie naar https://go.microsoft.com/fwlink/?linkid=2161080. |
Veelgestelde vragen (veelgestelde vragen)
Q1: Welke scenario's leiden tot een downgrade van AES naar RC4?
A1: Een downgrade vindt plaats als de server of client geen ondersteuning biedt voor AES.
Q2: Hoe weet ik of er is onderhandeld over RC4-versleuteling of AES-versleuteling?
A2: Bijgewerkte servers logen gebeurtenis 6425 wanneer oudere methoden die RC4 gebruiken, worden gebruikt.
Q3: Kan ik AES-versleuteling op de server vereisen en worden toekomstige updates Windows programmatisch afdwingen met behulp van AES?
A3: Er is momenteel geen afdwingingsmodus beschikbaar. Er kan echter in de toekomst een wijziging zijn, hoewel er geen dergelijke wijziging is gepland.
Q4: Ondersteunen clients van derden beveiligingen voor CVE-2022-21913 om te onderhandelen over AES wanneer deze door de server worden ondersteund? Moet ik contact opnemen met Microsoft Support of het ondersteuningsteam van derden om deze vraag te beantwoorden?
A4: Als een apparaat of toepassing van derden het MS-LSAD-protocol niet gebruikt, is dit niet belangrijk. Externe leveranciers die het MS-LSAD-protocol implementeren, kunnen ervoor kiezen om dit protocol te implementeren. Neem voor meer informatie contact op met de externe leverancier.
V5: Moeten er aanvullende configuratiewijzigingen worden aangebracht?
A5: Er zijn geen extra configuratiewijzigingen nodig.
V6: Wat gebruikt dit protocol?
A6: Het MS-LSAD-protocol wordt gebruikt door veel Windows onderdelen, waaronder Active Directory en hulpprogramma's zoals de Active Directory Domains and Trusts-console. Toepassingen kunnen dit protocol ook gebruiken via advapi32-bibliotheek-API's, zoals LsaOpenPolicy of LsaCreateTrustedDomainEx.
