Podsumowanie
Aktualizacje z 11 stycznia 2022 r., Windows i nowsze aktualizacje z Windows dodać zabezpieczenia dla cve-2022-21913.
Po zainstalowaniu aktualizacji Windows Windows z 11 stycznia 2022 r. lub nowszych szyfrowanie Advanced Encryption Standard (AES) będzie ustawione jako preferowana metoda szyfrowania w klientach programu Windows w przypadku używania starszego protokołu MS-LSAD (Local Security Authority) (MS-LSAD) do operacji na zaufanych obiektach domeny wysyłanych za pośrednictwem sieci. Dotyczy to tylko wtedy, gdy serwer obsługuje szyfrowanie AES. Jeśli szyfrowanie AES nie jest obsługiwane przez serwer, system zezwala na rezerwowe szyfrowanie RC4.
Zmiany w protokole CVE-2022-21913 są specyficzne dla protokołu MS-LSAD. Są one niezależne od innych protokołów. Ms-LSAD używa funkcji blokowania wiadomości serwera (SMB) podczas zdalnego wywołania procedury
(RPC) i potoki nazwane. Mimo że funkcja SMB obsługuje również szyfrowanie, domyślnie nie jest włączona. Domyślnie zmiany w cve-2022-21913 są włączone i zapewniają dodatkowe zabezpieczenia w warstwie LSAD. Po zainstalowaniu zabezpieczeń dla aktualizacji CVE-2022-21913 z 11 stycznia 2022 r. i nowszych aktualizacji dla wszystkich obsługiwanych wersji pakietu Windows Windows Windows nie są wymagane żadne dodatkowe zmiany konfiguracji. Nieobsługiwane wersje pakietu Windows powinny zostać wycofane lub uaktualnione do obsługiwanej wersji.
Uwaga ProgramCVE-2022-21913 modyfikuje tylko sposób szyfrowania haseł zaufanych podczas przesyłania podczas używania określonych interfejsów API protokołu MS-LSAD i nie modyfikuje sposobu przechowywania haseł w miejscu. Aby uzyskać więcej informacji na temat sposobu szyfrowania haseł w miejscu w usłudze Active Directory i lokalnie w bazie danych SAM (rejestr), zobacz Omówienie techniczne haseł.
Więcej informacji
Zmiany wprowadzone przez aktualizacje z 11 stycznia 2022 r.
-
Wzorzec obiektu zasad
Aktualizacje modyfikują wzorzec obiektu zasad protokołu, dodając nową metodę Open Policy, która umożliwia klientowi i serwerowi udostępnianie informacji o pomocy technicznej usługi AES.Stara metoda z użyciem RC4
Nowa metoda z zastosowaniem AES
LsarOpenPolicy2 (opnum 44)
LsarOpenPolicy3 (liczba_130)
Aby uzyskać pełną listę opnumerów protokołu MS-LSAR, zobacz [MS-LSAD]: Zdarzeniaprzetwarzania wiadomości i reguły kolejkowania.
-
Wzorzec obiektu Trusted Domain (Zaufana domena)
Aktualizacje modyfikują wzorzec tworzenia obiektu zaufanej domeny protokołu przez dodanie nowej metody w celu utworzenia zaufania, które będzie szyfrować dane uwierzytelniania przy użyciu usługi AES.
Interfejs API LsaCreateTrustedDomainEx będzie teraz preferował nową metodę, jeśli klient i serwer są zaktualizowane i w przeciwnym razie powrócą do starszej metody.
Stara metoda z użyciem RC4
Nowa metoda z zastosowaniem AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Aktualizacje modyfikują wzorzec zestawu obiektów zaufanej domeny protokołu, dodając dwie nowe klasy zaufanych informacji do metod LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Informacje o obiektach zaufanych domen można ustawić w następujący sposób.
Stara metoda z użyciem RC4
Nowa metoda z zastosowaniem AES
LsarSetInformationTrustedDomain (Opnum 27) wraz z TrustedDomainAuthInformationInternal lub TrustedDomainFullInformationInternal (zawiera zaszyfrowane hasło zaufania, które używa protokołu RC4)
LsarSetInformationTrustedDomain (Opnum 27) wraz z TrustedDomainAuthInformationInternalAes lub TrustedDomainFullInformationAes (posiada zaszyfrowane hasło zaufania, które używa usługi AES)
LsarSetTrustedDomainInfoByName (Opnum 49) wraz z TrustedDomainAuthInformationInternal lub TrustedDomainFullInformationInternal (zawiera zaszyfrowane hasło zaufania, które używa szyfrowania RC4 i wszystkich innych atrybutów)
LsarSetTrustedDomainInfoByName (Opnum 49) wraz z TrustedDomainAuthInformationInternalAes lub TrustedDomainFullInformationInternalAes (zawiera zaszyfrowane hasło zaufania, które używa usługi AES, i wszystkich innych atrybutów)
Jak działa nowe zachowanie
Istniejąca metoda LsarOpenPolicy2 jest zwykle używana do otwierania uchwytu kontekstowego na serwerze RPC. Jest to pierwsza funkcja, która musi zostać wywołana w celu skontaktowania się z bazą danych remote Protocol urzędu zabezpieczeń lokalnych (zasad domeny). Po zainstalowaniu tych aktualizacji metoda LsarOpenPolicy2 zostanie nowym metoda LsarOpenPolicy3.
Zaktualizowany klient wywołujący interfejs API LsaOpenPolicy będzie teraz najpierw wywołać metodę LsarOpenPolicy3. Jeśli serwer nie jest aktualizowany i nie implementuje metody LsarOpenPolicy3, klient wraca do metody LsarOpenPolicy2 i używa wcześniejszych metod szyfrowania RC4.
Zaktualizowany serwer zwróci nowy bit w odpowiedzi metody LsarOpenPolicy3, zgodnie z definicją w LSAPR_REVISION_INFO_V1. Aby uzyskać więcej informacji, zobacz sekcje "Użycie szyfrowania LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES AES" i "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" w programie MS-LSAD.
Jeśli serwer obsługuje usługę AES, klient będzie używać nowych metod i nowych klas informacji w kolejnych działaniach zaufanych domen "create" i "set". Jeśli serwer nie zwróci tej flagi lub jeśli klient nie zostanie zaktualizowany, klient ponownie użyje poprzednich metod korzystających z szyfrowania RC4.
Rejestrowanie zdarzeń
Aktualizacje z 11 stycznia 2022 r. dodają nowe zdarzenie do dziennika zdarzeń zabezpieczeń, aby ułatwić identyfikowanie urządzeń, które nie są aktualizowane, oraz w celu zwiększenia zabezpieczeń.
|
Wartość |
Znaczenie |
|---|---|
|
Źródło zdarzeń |
Microsoft-Windows-Security |
|
Identyfikator zdarzenia |
6425 |
|
Poziom |
Informacje |
|
Tekst wiadomości zdarzenia |
Klient sieciowy użył starszej metody RPC do zmodyfikowania informacji o uwierzytelnianiu w obiekcie zaufanej domeny. Informacje o uwierzytelnieniu były szyfrowane przy użyciu starszego algorytmu szyfrowania. Rozważ uaktualnienie systemu operacyjnego lub aplikacji klienta do najnowszej i bezpieczniejszej wersji tej metody. Zaufana domena:
Zmodyfikowane przez:
Adres sieciowy klienta: Aby uzyskać więcej informacji, przejdź do https://go.microsoft.com/fwlink/?linkid=2161080. |
Często zadawane pytania (często zadawane pytania)
P1: Jakie scenariusze powodują obniżenie wersji AES do RC4?
A1: Obniżenie wersji następuje, jeśli serwer lub klient nie obsługuje usługi AES.
P2. Jak ustalić, czy szyfrowania RC4 lub AES było wynegocjowane?
A2: Zaktualizowane serwery będą rejestrować zdarzenie 6425 w przypadku użycia starszych metod, które używają rc4.
P3. Czy mogę wymagać szyfrowania AES na serwerze, a przyszłe aktualizacje będą Windows programowo wymuszać przy użyciu usługi AES?
A3: Obecnie nie jest dostępny tryb wymuszania. Jednak taka zmiana może wystąpić w przyszłości, chociaż nie jest ona planowana.
P4. Czy klienci innych firm obsługują ochronę dla cve-2022-21913 podczas negocjacji w zakresie usług aES, gdy są obsługiwane przez serwer? Czy należy skontaktować się z pomocą techniczną firmy Microsoft lub zespołem pomocy technicznej innej firmy w celu rozwiązania tego pytania?
A4: Jeśli urządzenie lub aplikacja innej firmy nie używa protokołu MS-LSAD, nie jest to istotne. Dostawcy, którzy wdrażają protokół MS-LSAD, mogą zdecydować się na zaimplementowanie tego protokołu. Aby uzyskać więcej informacji, skontaktuj się z dostawcą z innej firmy.
P5. Czy należy wprowadzić jakiekolwiek dodatkowe zmiany w konfiguracji?
A5: Nie są konieczne żadne dodatkowe zmiany konfiguracji.
P6: Co korzysta z tego protokołu?
A6: Protokół MS-LSAD jest używany przez wiele składników usługi Windows, w tym usługę Active Directory i narzędzia, takie jak konsola domen i zaufania usługi Active Directory. Aplikacje mogą również używać tego protokołu za pośrednictwem interfejsów API biblioteki advapi32, takich jak LsaOpenPolicy lub LsaCreateTrustedDomainEx.
