Uwaga
- Zaktualizowano
- 10 kwietnia 2023 r.: Zaktualizowano "Trzecią fazę wdrożenia" z 11 kwietnia 2023 r. do 13 czerwca 2023 r. w sekcji "Harmonogram aktualizacji rozwiązujących problem CVE-2022-37967".
W tym artykule
- Podsumowanie
- Harmonogram aktualizacji rozwiązujących problem CVE-2022-37967
- Wskazówki dotyczące wdrażania
- Ustawienia klucza rejestru
- Zdarzenia systemu Windows związane z CVE-2022-37967
- Urządzenia innych firm implementujące protokół Kerberos
- Słownik
Podsumowanie
Aktualizacje systemu Windows z 8 listopada 2022 r. dotyczą luk w zabezpieczeniach związanych z obejściem zabezpieczeń i podniesieniem uprawnień za pomocą podpisów certyfikatu atrybutu uprawnień (PAC). Ta aktualizacja zabezpieczeń naprawia luki w zabezpieczeniach protokołu Kerberos polegające na tym, że osoba atakująca mogła cyfrowo zmienić podpisy PAC, podnosząc swoje uprawnienia.
Aby lepiej zabezpieczyć swoje środowisko, zainstaluj tę aktualizację systemu Windows na wszystkich urządzeniach, w tym na kontrolerach domeny systemu Windows. Wszystkie kontrolery domeny w domenie należy najpierw zaktualizować przed przełączeniem aktualizacji do trybu wymuszonego.
Aby dowiedzieć się więcej o tych lukach w zabezpieczeniach, zobacz CVE-2022-37967.
Podejmij działanie
Aby chronić środowisko i zapobiegać awariom, zalecamy wykonanie następujących czynności:
- ZAKTUALIZUJ kontrolery domeny systemu Windows za pomocą aktualizacji systemu Windows wydanej 8 listopada 2022 r. lub później.
- PRZENIEŚ kontrolery domeny systemu Windows w tryb inspekcji, korzystając z sekcji ustawień klucza rejestru .
- MONITOROWANIE zdarzeń zapisanych podczas trybu inspekcji w celu zabezpieczenia środowiska.
- WŁĄCZ Tryb wymuszania w celu rozwiązania problemu CVE-2022-37967 w środowisku.
Wskazówka Krok 1 instalowania aktualizacji wydanych 8 listopada 2022 r. lub później domyślnie NIE rozwiąże problemów z zabezpieczeniami występujących w luce CVE-2022-37967 dla urządzeń z systemem Windows. Aby w pełni ograniczyć problem z zabezpieczeniami dla wszystkich urządzeń, należy jak najszybciej przejść do trybu inspekcji (opisanego w kroku 2), a następnie do trybu wymuszonego (opisanego w kroku 4) na wszystkich kontrolerach domeny z systemem Windows.
Ważne Od lipca 2023 r. tryb wymuszania zostanie włączony na wszystkich kontrolerach domeny z systemem Windows i będzie blokował podatne na zagrożenia połączenia z niezgodnych urządzeń. W tym czasie nie będzie można wyłączyć aktualizacji, ale można powrócić do ustawienia trybu inspekcji. Tryb inspekcji zostanie usunięty w październiku 2023 r., zgodnie z opisem w sekcji Harmonogram aktualizacji w celu rozwiązania luki w zabezpieczeniach protokołu Kerberos CVE-2022-37967 .
Harmonogram aktualizacji rozwiązujących problem CVE-2022-37967
Aktualizacje będą wydawane w fazach: faza początkowa dla aktualizacji wydanych 8 listopada 2022 r. i faza wymuszania dla aktualizacji wydanych 13 czerwca 2023 r. lub później.
8 listopada 2022 r. — początkowa faza wdrożenia
Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 8 listopada 2022 r. i jest kontynuowana z późniejszymi aktualizacjami systemu Windows aż do fazy wymuszania. Ta aktualizacja dodaje podpisy do buforu PAC protokołu Kerberos, ale nie sprawdza podpisów podczas uwierzytelniania. W związku z tym tryb bezpieczny jest domyślnie wyłączony.
Ta aktualizacja:
- Dodaje podpisy PAC do buforu PAC protokołu Kerberos.
- Dodaje środki eliminujące lukę umożliwiającą obejście zabezpieczeń w protokole Kerberos.
13 grudnia 2022 r. — druga faza wdrażania
Druga faza wdrażania rozpoczyna się od aktualizacji wydanych 13 grudnia 2022 r. Te i nowsze aktualizacje wprowadzają zmiany w protokole Kerberos na potrzeby inspekcji urządzeń z systemem Windows poprzez przełączenie kontrolerów domeny systemu Windows w tryb inspekcji.
Po tej aktualizacji wszystkie urządzenia będą domyślnie w trybie inspekcji:
- Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest dozwolone. Ponadto zostanie utworzony dziennik inspekcji.
- Jeśli brakuje podpisu, zgłoś zdarzenie i zezwól na uwierzytelnienie.
- Jeśli podpis jest obecny, potwierdź go. Jeśli podpis jest niepoprawny, wywołaj zdarzenie i zezwól na uwierzytelnienie.
13 czerwca 2023 r. — trzecia faza wdrożenia
Aktualizacje systemu Windows wydane 13 czerwca 2023 r. lub później będą wykonywać następujące czynności:
- Usuń możliwość wyłączenia dodawania podpisu PAC przez ustawienie podklucza KrbtgtFullPacSignature na wartość 0.
11 lipca 2023 r. — początkowa faza egzekwowania
Aktualizacje systemu Windows wydane 11 lipca 2023 r. lub później będą wykonywać następujące czynności:
- Usuwa możliwość ustawienia wartości 1 dla podklucza KrbtgtFullPacSignature .
- Przenosi aktualizację do trybu wymuszania (domyślnego) (KrbtgtFullPacSignature = 3), który może zostać zastąpiony przez administratora za pomocą jawnego ustawienia inspekcji.
10 października 2023 r. — faza pełnego egzekwowania
Aktualizacje systemu Windows wydane 10 października 2023 r. lub później będą wykonywać następujące czynności:
- Usuwa obsługę podklucza rejestru KrbtgtFullPacSignature.
- Usuwa obsługę trybu inspekcji.
- Wszystkie bilety serwisowe bez nowych podpisów PAC będą odrzucane przy uwierzytelnianiu.
Wskazówki dotyczące wdrażania
Aby wdrożyć aktualizacje systemu Windows z dnia 8 listopada 2022 r. lub nowsze aktualizacje systemu Windows, wykonaj następujące kroki:
- ZAKTUALIZUJ kontrolery domeny systemu Windows za pomocą aktualizacji wydanej 8 listopada 2022 r. lub później.
- PRZENIEŚ kontrolery domeny do trybu inspekcji, korzystając z sekcji ustawień klucza rejestru .
- MONITOROWANIE zdarzeń zapisanych w trybie inspekcji w celu zabezpieczenia środowiska.
- WŁĄCZ Tryb wymuszania w celu rozwiązania problemu CVE-2022-37967 w środowisku.
KROK 1. AKTUALIZACJA
Wdróż aktualizacje z 8 listopada 2022 r. lub nowsze na wszystkich odpowiednich kontrolerach domeny systemu Windows. Po wdrożeniu aktualizacji zaktualizowane kontrolery domeny systemu Windows będą miały podpisy dodane do buforu PAC protokołu Kerberos i będą domyślnie niezabezpieczone (podpis PAC nie jest weryfikowany).
- Podczas aktualizacji upewnij się, że wartość rejestru KrbtgtFullPacSignature pozostaje w stanie domyślnym, dopóki nie zostaną zaktualizowane wszystkie kontrolery domeny systemu Windows.
KROK 2. PRZENOSZENIE
Po zaktualizowaniu kontrolerów domeny systemu Windows przełącz się do trybu inspekcji, zmieniając wartość parametru KrbtgtFullPacSignature na 2.
KROK 3: ZNAJDŹ/MONITORUJ
Zidentyfikuj obszary, w których brakuje podpisów PAC lub w których podpisy PAC nie przeszły walidacji, korzystając z dzienników zdarzeń wyzwalanych w trybie inspekcji.
- Przed przejściem do trybu wymuszania upewnij się, że poziom funkcjonalności domeny jest ustawiony na co najmniej 2008 lub nowszy. Przejście do trybu wymuszania z domenami na poziomie funkcjonalności domeny 2003 może powodować błędy uwierzytelniania.
- Zdarzenia inspekcji będą wyświetlane, jeśli domena nie została w pełni zaktualizowana lub jeśli nadal istnieją w niej zaległe wcześniej wystawione bilety usługi.
- Kontynuuj monitorowanie dodatkowych rejestrowanych dzienników zdarzeń, które wskazują na brakujące podpisy PAC lub błędy weryfikacji istniejących podpisów PAC.
- Po zaktualizowaniu całej domeny i wygaśnięciu wszystkich zaległych zgłoszeń zdarzenia inspekcji nie powinny się już pojawiać. Następnie powinno być możliwe przejście do trybu wymuszania bez żadnych błędów.
KROK 4: WŁĄCZANIE
Włącz tryb wymuszania, aby rozwiązać problem CVE-2022-37967 w środowisku.
- Gdy wszystkie zdarzenia inspekcji zostaną rozwiązane i przestaną być wyświetlane, przenieś domeny do trybu wymuszania, aktualizując wartość rejestru KrbtgtFullPacSignature zgodnie z opisem w sekcji Ustawienia klucza rejestru .
- Jeśli bilet usługi ma nieprawidłowy podpis PAC lub brakuje podpisów PAC, sprawdzanie poprawności zakończy się niepowodzeniem i zostanie zarejestrowane zdarzenie błędu.
Ustawienia klucza rejestru
protokół Kerberos
Po zainstalowaniu aktualizacji systemu Windows, które są datowane na 8 listopada 2022 r. lub później, dla protokołu Kerberos dostępny jest następujący klucz rejestru:
KrbtgtFullPacSignature
Ten klucz rejestru jest używany do bramowania wdrażania zmian protokołu Kerberos. Ten klucz rejestru jest tymczasowy i nie będzie już odczytywany po pełnej dacie wymuszenia, czyli 10 października 2023 r.
Klucz rejestru HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc Wartość KrbtgtFullPacSignature Typ danych REG_DWORD Dane 0 – Wyłączony
1 — Dodawane są nowe podpisy, ale nie są one weryfikowane. (Ustawienie domyślne)
2 — Tryb inspekcji. Są dodawane nowe podpisy i weryfikowane, jeśli istnieją. Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest dozwolone i tworzone są dzienniki inspekcji.
3 — Tryb wymuszania. Są dodawane nowe podpisy i weryfikowane, jeśli istnieją. Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest odrzucane, a dzienniki inspekcji są tworzone.Wymagany ponowny rozruch? Nie Wskazówka Jeśli trzeba zmienić wartość rejestru KrbtgtFullPacSignature , należy go dodać ręcznie, a następnie skonfigurować w taki sposób, aby zastąpić wartość domyślną.
Zdarzenia systemu Windows związane z CVE-2022-37967
Jeśli brakuje podpisów PAC lub są one nieprawidłowe, w trybie inspekcji może zostać wykryty jeden z następujących błędów. Jeśli ten problem będzie się powtarzać w trybie wymuszania, te zdarzenia zostaną zarejestrowane jako błędy.
Jeśli znajdziesz którykolwiek z błędów na swoim urządzeniu, prawdopodobnie wszystkie kontrolery domeny systemu Windows w Twojej domenie nie są zaktualizowane za pomocą aktualizacji systemu Windows z 8 listopada 2022 r. lub nowszej. Aby ograniczyć te problemy, należy dokładniej zbadać domenę w celu znalezienia nieaktualnych kontrolerów domeny systemu Windows.
Wskazówka Jeśli znajdziesz błąd z identyfikatorem zdarzenia 42, zobacz KB5021131: Jak zarządzać zmianami protokołu Kerberos związanymi z CVE-2022-37966.
Pełny podpis PAC nie powiódł się
| Dziennik zdarzeń | System |
|---|---|
| Typ zdarzenia | Ostrzeżenie |
| Źródło zdarzenia | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Identyfikator zdarzenia | 43 |
| Tekst zdarzenia | Centrum dystrybucji kluczy (KDC) napotkało bilet, którego nie można zweryfikować pełny podpis PAC. Zobacz https://go.microsoft.com/fwlink/?linkid=2210019, aby dowiedzieć się więcej. Klient: <dziedzina>/<nazwa> |
Brak pełnego podpisu PAC
| Dziennik zdarzeń | System |
|---|---|
| Typ zdarzenia | Ostrzeżenie |
| Źródło zdarzenia | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Identyfikator zdarzenia | 44 |
| Tekst zdarzenia | Centrum dystrybucji kluczy (KDC) napotkało bilet, który nie zawierał pełnego podpisu PAC. Zobacz https://go.microsoft.com/fwlink/?linkid=2210019, aby dowiedzieć się więcej. Klient: <dziedzina>/<nazwa> |
Urządzenia innych firm implementujące protokół Kerberos
W domenach, które mają kontrolery domeny innych firm, mogą wystąpić błędy w trybie wymuszania.
Całkowite czyszczenie zdarzeń inspekcji w domenach z klientami innych firm może potrwać dłużej po zainstalowaniu aktualizacji systemu Windows z 8 listopada 2022 r. lub nowszej.
Skontaktuj się z producentem urządzenia (OEM) lub dostawcą oprogramowania, aby ustalić, czy ich oprogramowanie jest zgodne z najnowszą zmianą protokołu.
Aby uzyskać informacje o aktualizacjach protokołu, zobacz temat dotyczący protokołu Windows w witrynie firmy Microsoft w sieci Web.
Słownik
Protokół Kerberos
Kerberos to protokół uwierzytelniania sieci komputerowej, który działa w oparciu o "bilety", aby umożliwić węzłom komunikującym się przez sieć potwierdzanie swojej tożsamości w bezpieczny sposób.
Centrum dystrybucji kluczy
Usługa Kerberos, która implementuje usługi uwierzytelniania i udostępniania biletów określone w protokole Kerberos. Usługa działa na komputerach wybranych przez administratora obszaru lub domeny; Nie jest on obecny na każdym komputerze w sieci. Musi mieć dostęp do bazy danych kont dla obszaru, który obsługuje. Centra dystrybucji kluczy są zintegrowane z rolą kontrolera domeny . Jest to usługa sieciowa, która dostarcza klientom bilety do użycia podczas uwierzytelniania w usługach.
Certyfikat atrybutu uprawnień (PAC)
Certyfikat atrybutu uprawnień (PAC, Privilege Attribute Certificate) to struktura, która przekazuje informacje związane z autoryzacją udostępniane przez kontrolery domeny (DC). Aby uzyskać więcej informacji, zobacz Struktura danych certyfikatu atrybutu uprawnień.
Bilet uprawniający do zakupu biletu
Specjalny rodzaj biletu, który można wykorzystać do zdobycia innych biletów. Bilet uprawniający do biletu (TGT) uzyskuje się po wstępnym uwierzytelnieniu na giełdzie usługi uwierzytelniającej (AS); następnie użytkownicy nie muszą przedstawiać swoich danych uwierzytelniających, ale mogą korzystać z TGT, aby uzyskać kolejne bilety.