KB5020805: Jak zarządzać zmianami protokołu Kerberos związanymi z CVE-2022-37967

Dotyczy
Windows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Uwaga

  • Zaktualizowano
  • 10 kwietnia 2023 r.: Zaktualizowano "Trzecią fazę wdrożenia" z 11 kwietnia 2023 r. do 13 czerwca 2023 r. w sekcji "Harmonogram aktualizacji rozwiązujących problem CVE-2022-37967".

W tym artykule

Podsumowanie

Aktualizacje systemu Windows z 8 listopada 2022 r. dotyczą luk w zabezpieczeniach związanych z obejściem zabezpieczeń i podniesieniem uprawnień za pomocą podpisów certyfikatu atrybutu uprawnień (PAC). Ta aktualizacja zabezpieczeń naprawia luki w zabezpieczeniach protokołu Kerberos polegające na tym, że osoba atakująca mogła cyfrowo zmienić podpisy PAC, podnosząc swoje uprawnienia.

Aby lepiej zabezpieczyć swoje środowisko, zainstaluj tę aktualizację systemu Windows na wszystkich urządzeniach, w tym na kontrolerach domeny systemu Windows. Wszystkie kontrolery domeny w domenie należy najpierw zaktualizować przed przełączeniem aktualizacji do trybu wymuszonego.

Aby dowiedzieć się więcej o tych lukach w zabezpieczeniach, zobacz CVE-2022-37967.

Podejmij działanie

Aby chronić środowisko i zapobiegać awariom, zalecamy wykonanie następujących czynności:

  1. ZAKTUALIZUJ kontrolery domeny systemu Windows za pomocą aktualizacji systemu Windows wydanej 8 listopada 2022 r. lub później.
  2. PRZENIEŚ kontrolery domeny systemu Windows w tryb inspekcji, korzystając z sekcji ustawień klucza rejestru .
  3. MONITOROWANIE zdarzeń zapisanych podczas trybu inspekcji w celu zabezpieczenia środowiska.
  4. WŁĄCZ Tryb wymuszania w celu rozwiązania problemu CVE-2022-37967 w środowisku.

Wskazówka Krok 1 instalowania aktualizacji wydanych 8 listopada 2022 r. lub później domyślnie NIE rozwiąże problemów z zabezpieczeniami występujących w luce CVE-2022-37967 dla urządzeń z systemem Windows. Aby w pełni ograniczyć problem z zabezpieczeniami dla wszystkich urządzeń, należy jak najszybciej przejść do trybu inspekcji (opisanego w kroku 2), a następnie do trybu wymuszonego (opisanego w kroku 4) na wszystkich kontrolerach domeny z systemem Windows.

Ważne Od lipca 2023 r. tryb wymuszania zostanie włączony na wszystkich kontrolerach domeny z systemem Windows i będzie blokował podatne na zagrożenia połączenia z niezgodnych urządzeń.  W tym czasie nie będzie można wyłączyć aktualizacji, ale można powrócić do ustawienia trybu inspekcji. Tryb inspekcji zostanie usunięty w październiku 2023 r., zgodnie z opisem w sekcji Harmonogram aktualizacji w celu rozwiązania luki w zabezpieczeniach protokołu Kerberos CVE-2022-37967 .

Harmonogram aktualizacji rozwiązujących problem CVE-2022-37967

Aktualizacje będą wydawane w fazach: faza początkowa dla aktualizacji wydanych 8 listopada 2022 r. i faza wymuszania dla aktualizacji wydanych 13 czerwca 2023 r. lub później.

8 listopada 2022 r. — początkowa faza wdrożenia

Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 8 listopada 2022 r. i jest kontynuowana z późniejszymi aktualizacjami systemu Windows aż do fazy wymuszania. Ta aktualizacja dodaje podpisy do buforu PAC protokołu Kerberos, ale nie sprawdza podpisów podczas uwierzytelniania. W związku z tym tryb bezpieczny jest domyślnie wyłączony.

Ta aktualizacja:

  • Dodaje podpisy PAC do buforu PAC protokołu Kerberos.
  • Dodaje środki eliminujące lukę umożliwiającą obejście zabezpieczeń w protokole Kerberos.
13 grudnia 2022 r. — druga faza wdrażania

Druga faza wdrażania rozpoczyna się od aktualizacji wydanych 13 grudnia 2022 r. Te i nowsze aktualizacje wprowadzają zmiany w protokole Kerberos na potrzeby inspekcji urządzeń z systemem Windows poprzez przełączenie kontrolerów domeny systemu Windows w tryb inspekcji.

Po tej aktualizacji wszystkie urządzenia będą domyślnie w trybie inspekcji:

  • Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest dozwolone. Ponadto zostanie utworzony dziennik inspekcji.
  • Jeśli brakuje podpisu, zgłoś zdarzenie i zezwól na uwierzytelnienie.
  • Jeśli podpis jest obecny, potwierdź go. Jeśli podpis jest niepoprawny, wywołaj zdarzenie i zezwól na uwierzytelnienie.
13 czerwca 2023 r. — trzecia faza wdrożenia

Aktualizacje systemu Windows wydane 13 czerwca 2023 r. lub później będą wykonywać następujące czynności:

  • Usuń możliwość wyłączenia dodawania podpisu PAC przez ustawienie podklucza KrbtgtFullPacSignature na wartość 0.
11 lipca 2023 r. — początkowa faza egzekwowania

Aktualizacje systemu Windows wydane 11 lipca 2023 r. lub później będą wykonywać następujące czynności:

  • Usuwa możliwość ustawienia wartości 1 dla podklucza KrbtgtFullPacSignature .
  • Przenosi aktualizację do trybu wymuszania (domyślnego) (KrbtgtFullPacSignature = 3), który może zostać zastąpiony przez administratora za pomocą jawnego ustawienia inspekcji.
10 października 2023 r. — faza pełnego egzekwowania

Aktualizacje systemu Windows wydane 10 października 2023 r. lub później będą wykonywać następujące czynności:

  • Usuwa obsługę podklucza rejestru KrbtgtFullPacSignature.
  • Usuwa obsługę trybu inspekcji.
  • Wszystkie bilety serwisowe bez nowych podpisów PAC będą odrzucane przy uwierzytelnianiu.

Wskazówki dotyczące wdrażania

Aby wdrożyć aktualizacje systemu Windows z dnia 8 listopada 2022 r. lub nowsze aktualizacje systemu Windows, wykonaj następujące kroki:

  1. ZAKTUALIZUJ kontrolery domeny systemu Windows za pomocą aktualizacji wydanej 8 listopada 2022 r. lub później.
  2. PRZENIEŚ kontrolery domeny do trybu inspekcji, korzystając z sekcji ustawień klucza rejestru .
  3. MONITOROWANIE zdarzeń zapisanych w trybie inspekcji w celu zabezpieczenia środowiska.
  4. WŁĄCZ Tryb wymuszania w celu rozwiązania problemu CVE-2022-37967 w środowisku.

KROK 1. AKTUALIZACJA

Wdróż aktualizacje z 8 listopada 2022 r. lub nowsze na wszystkich odpowiednich kontrolerach domeny systemu Windows. Po wdrożeniu aktualizacji zaktualizowane kontrolery domeny systemu Windows będą miały podpisy dodane do buforu PAC protokołu Kerberos i będą domyślnie niezabezpieczone (podpis PAC nie jest weryfikowany).

  • Podczas aktualizacji upewnij się, że wartość rejestru KrbtgtFullPacSignature pozostaje w stanie domyślnym, dopóki nie zostaną zaktualizowane wszystkie kontrolery domeny systemu Windows.

KROK 2. PRZENOSZENIE

Po zaktualizowaniu kontrolerów domeny systemu Windows przełącz się do trybu inspekcji, zmieniając wartość parametru KrbtgtFullPacSignature na 2.

KROK 3: ZNAJDŹ/MONITORUJ

Zidentyfikuj obszary, w których brakuje podpisów PAC lub w których podpisy PAC nie przeszły walidacji, korzystając z dzienników zdarzeń wyzwalanych w trybie inspekcji.

  • Przed przejściem do trybu wymuszania upewnij się, że poziom funkcjonalności domeny jest ustawiony na co najmniej 2008 lub nowszy. Przejście do trybu wymuszania z domenami na poziomie funkcjonalności domeny 2003 może powodować błędy uwierzytelniania.
  • Zdarzenia inspekcji będą wyświetlane, jeśli domena nie została w pełni zaktualizowana lub jeśli nadal istnieją w niej zaległe wcześniej wystawione bilety usługi.
  • Kontynuuj monitorowanie dodatkowych rejestrowanych dzienników zdarzeń, które wskazują na brakujące podpisy PAC lub błędy weryfikacji istniejących podpisów PAC.
  • Po zaktualizowaniu całej domeny i wygaśnięciu wszystkich zaległych zgłoszeń zdarzenia inspekcji nie powinny się już pojawiać. Następnie powinno być możliwe przejście do trybu wymuszania bez żadnych błędów.

KROK 4: WŁĄCZANIE

Włącz tryb wymuszania, aby rozwiązać problem CVE-2022-37967 w środowisku.

  • Gdy wszystkie zdarzenia inspekcji zostaną rozwiązane i przestaną być wyświetlane, przenieś domeny do trybu wymuszania, aktualizując wartość rejestru KrbtgtFullPacSignature zgodnie z opisem w sekcji Ustawienia klucza rejestru .
  • Jeśli bilet usługi ma nieprawidłowy podpis PAC lub brakuje podpisów PAC, sprawdzanie poprawności zakończy się niepowodzeniem i zostanie zarejestrowane zdarzenie błędu.

Ustawienia klucza rejestru

protokół Kerberos

Po zainstalowaniu aktualizacji systemu Windows, które są datowane na 8 listopada 2022 r. lub później, dla protokołu Kerberos dostępny jest następujący klucz rejestru:

  • KrbtgtFullPacSignature

    Ten klucz rejestru jest używany do bramowania wdrażania zmian protokołu Kerberos. Ten klucz rejestru jest tymczasowy i nie będzie już odczytywany po pełnej dacie wymuszenia, czyli 10 października 2023 r. 

    Klucz rejestru HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
    Wartość KrbtgtFullPacSignature
    Typ danych REG_DWORD
    Dane 0 – Wyłączony
    1 — Dodawane są nowe podpisy, ale nie są one weryfikowane. (Ustawienie domyślne)
    2 — Tryb inspekcji. Są dodawane nowe podpisy i weryfikowane, jeśli istnieją. Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest dozwolone i tworzone są dzienniki inspekcji.
    3 — Tryb wymuszania. Są dodawane nowe podpisy i weryfikowane, jeśli istnieją. Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest odrzucane, a dzienniki inspekcji są tworzone.
    Wymagany ponowny rozruch? Nie

    Wskazówka Jeśli trzeba zmienić wartość rejestru KrbtgtFullPacSignature , należy go dodać ręcznie, a następnie skonfigurować w taki sposób, aby zastąpić wartość domyślną.

Jeśli brakuje podpisów PAC lub są one nieprawidłowe, w trybie inspekcji może zostać wykryty jeden z następujących błędów. Jeśli ten problem będzie się powtarzać w trybie wymuszania, te zdarzenia zostaną zarejestrowane jako błędy.

Jeśli znajdziesz którykolwiek z błędów na swoim urządzeniu, prawdopodobnie wszystkie kontrolery domeny systemu Windows w Twojej domenie nie są zaktualizowane za pomocą aktualizacji systemu Windows z 8 listopada 2022 r. lub nowszej. Aby ograniczyć te problemy, należy dokładniej zbadać domenę w celu znalezienia nieaktualnych kontrolerów domeny systemu Windows.

Wskazówka Jeśli znajdziesz błąd z identyfikatorem zdarzenia 42, zobacz KB5021131: Jak zarządzać zmianami protokołu Kerberos związanymi z CVE-2022-37966.

Pełny podpis PAC nie powiódł się
Dziennik zdarzeń System
Typ zdarzenia Ostrzeżenie
Źródło zdarzenia Microsoft-Windows-Kerberos-Key-Distribution-Center
Identyfikator zdarzenia 43
Tekst zdarzenia Centrum dystrybucji kluczy (KDC) napotkało bilet, którego nie można zweryfikować
pełny podpis PAC. Zobacz https://go.microsoft.com/fwlink/?linkid=2210019, aby dowiedzieć się więcej. Klient: <dziedzina>/<nazwa>
Brak pełnego podpisu PAC
Dziennik zdarzeń System
Typ zdarzenia Ostrzeżenie
Źródło zdarzenia Microsoft-Windows-Kerberos-Key-Distribution-Center
Identyfikator zdarzenia 44
Tekst zdarzenia Centrum dystrybucji kluczy (KDC) napotkało bilet, który nie zawierał pełnego podpisu PAC. Zobacz https://go.microsoft.com/fwlink/?linkid=2210019, aby dowiedzieć się więcej. Klient: <dziedzina>/<nazwa>

Urządzenia innych firm implementujące protokół Kerberos

W domenach, które mają kontrolery domeny innych firm, mogą wystąpić błędy w trybie wymuszania.

Całkowite czyszczenie zdarzeń inspekcji w domenach z klientami innych firm może potrwać dłużej po zainstalowaniu aktualizacji systemu Windows z 8 listopada 2022 r. lub nowszej.

Skontaktuj się z producentem urządzenia (OEM) lub dostawcą oprogramowania, aby ustalić, czy ich oprogramowanie jest zgodne z najnowszą zmianą protokołu.

Aby uzyskać informacje o aktualizacjach protokołu, zobacz temat dotyczący protokołu Windows w witrynie firmy Microsoft w sieci Web.

Słownik

Protokół Kerberos

Kerberos to protokół uwierzytelniania sieci komputerowej, który działa w oparciu o "bilety", aby umożliwić węzłom komunikującym się przez sieć potwierdzanie swojej tożsamości w bezpieczny sposób.

Centrum dystrybucji kluczy

Usługa Kerberos, która implementuje usługi uwierzytelniania i udostępniania biletów określone w protokole Kerberos. Usługa działa na komputerach wybranych przez administratora obszaru lub domeny; Nie jest on obecny na każdym komputerze w sieci. Musi mieć dostęp do bazy danych kont dla obszaru, który obsługuje.  Centra dystrybucji kluczy są zintegrowane z rolą kontrolera domeny . Jest to usługa sieciowa, która dostarcza klientom bilety do użycia podczas uwierzytelniania w usługach.

Certyfikat atrybutu uprawnień (PAC)

Certyfikat atrybutu uprawnień (PAC, Privilege Attribute Certificate) to struktura, która przekazuje informacje związane z autoryzacją udostępniane przez kontrolery domeny (DC). Aby uzyskać więcej informacji, zobacz Struktura danych certyfikatu atrybutu uprawnień.

Bilet uprawniający do zakupu biletu

Specjalny rodzaj biletu, który można wykorzystać do zdobycia innych biletów. Bilet uprawniający do biletu (TGT) uzyskuje się po wstępnym uwierzytelnieniu na giełdzie usługi uwierzytelniającej (AS); następnie użytkownicy nie muszą przedstawiać swoich danych uwierzytelniających, ale mogą korzystać z TGT, aby uzyskać kolejne bilety.