Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Aktualizacja

10 kwietnia 2023 r.: Zaktualizowano "Trzecią fazę wdrażania" z 11 kwietnia 2023 r. do 13 czerwca 2023 r. w sekcji "Termin aktualizacji dotyczących CVE-2022-37967".

W tym artykule

Podsumowanie

Aktualizacje systemu Windows z 8 listopada 2022 r. dotyczą obejścia zabezpieczeń i podwyższenia luk w zabezpieczeniach uprawnień dzięki podpisom PAC (Privilege Attribute Certificate). Ta aktualizacja zabezpieczeń usuwa luki protokołu Kerberos w zabezpieczeniach, w których osoba atakująca może cyfrowo zmienić podpisy PAC, zwiększając swoje uprawnienia.

Aby zabezpieczyć środowisko, zainstaluj tę aktualizację systemu Windows na wszystkich urządzeniach, w tym na kontrolerach domeny systemu Windows. Przed przełączeniem aktualizacji do trybu wymuszonego wszystkie kontrolery domeny w twojej domenie muszą zostać zaktualizowane.

Aby dowiedzieć się więcej o tych lukach, zobacz CVE-2022-37967.

Podejmij działanie

Aby pomóc chronić środowisko i zapobiec awariom, zalecamy wykonać następujące czynności:

  1. Zaktualizuj kontrolery domeny systemu Windows za pomocą aktualizacji systemu Windows wydanej 8 listopada 2022 r. lub później.

  2. Przenieś kontrolery domeny systemu Windows do trybu inspekcji przy użyciu sekcji ustawień klucza rejestru .

  3. Monitoruj zdarzenia zachowane w trybie inspekcji, aby zabezpieczyć środowisko.

  4. WŁĄCZYĆTryb wymuszania w celu rozwiązania problemu CVE-2022-37967 w środowisku.

Uwaga Krok 1 instalowania aktualizacji wydanych 8 listopada 2022 r. nie rozwiąże domyślnie problemów z zabezpieczeniami w programie CVE-2022-37967 dla urządzeń z systemem Windows. Aby całkowicie ograniczyć problem z zabezpieczeniami dla wszystkich urządzeń, należy jak najszybciej przejść do trybu inspekcji (opisanego w kroku 2), a następnie do trybu wymuszonego (opisanego w kroku 4) tak szybko, jak to możliwe na wszystkich kontrolerach domeny systemu Windows.

Ważne Od lipca 2023 r. na wszystkich kontrolerach domeny systemu Windows zostanie włączony tryb wy wymuszania, który będzie blokować wrażliwe połączenia z urządzeń niezgodnych.  W tym czasie nie będzie można wyłączyć aktualizacji, ale może wrócić do ustawienia trybu inspekcji. Tryb inspekcji zostanie usunięty w październiku 2023 r., zgodnie z opisem w sekcji Chronometraż aktualizacji w celu wyeliminowania luki w zabezpieczeniach Kerberos CVE-2022-37967 .

Termin aktualizacji dotyczących CVE-2022-37967

Aktualizacje zostanie wydana etapami: początkowa faza aktualizacji wydanych 8 listopada 2022 r. lub później oraz faza wymuszania aktualizacji wydanych 13 czerwca 2023 r. lub później.

Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 8 listopada 2022 r. i jest kontynuowana wraz z późniejszymi aktualizacjami systemu Windows do fazy wymuszania. Ta aktualizacja dodaje podpisy do buforu PAC protokołu Kerberos, ale nie sprawdza podpisów podczas uwierzytelniania. Z tego powodu tryb bezpieczny jest domyślnie wyłączony.

Ta aktualizacja:

  • Dodaje podpisy PAC do buforu PAC protokołu Kerberos.

  • Dodaje środki w celu wyeliminowania luki w zabezpieczeniach obejścia w protokole Kerberos.

Druga faza wdrażania rozpoczyna się od aktualizacji wydanych 13 grudnia 2022 r. Te i nowsze aktualizacje wprowadzają zmiany w protokole Kerberos w celu inspekcji urządzeń z systemem Windows, przenosząc kontrolery domeny systemu Windows do trybu inspekcji.

Po tej aktualizacji wszystkie urządzenia będą domyślnie w trybie inspekcji:

  • Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest dozwolone. Ponadto zostanie utworzony dziennik inspekcji. 

  • Jeśli brakuje podpisu, należy podnieść zdarzenie i zezwolić na uwierzytelnienie.

  • Jeśli podpis jest obecny, sprawdź jego poprawność. Jeśli podpis jest nieprawidłowy, podnieś zdarzenie i zezwól na uwierzytelnienie.

Aktualizacje systemu Windows wydane 13 czerwca 2023 r. lub później będą wykonywać następujące czynności: 

  • Usuń możliwość wyłączenia dodawania podpisu PAC, ustawiając podklucz KrbtgtFullPacSignature na wartość 0.

Aktualizacje systemu Windows wydane 11 lipca 2023 r. lub później będą wykonywać następujące czynności: 

  • Usuwa możliwość ustawienia wartości 1 dla podklucza KrbtgtFullPacSignature.

  • Przenosi aktualizację do trybu wymuszania (domyślnego) (KrbtgtFullPacSignature = 3), który może zostać zastąpiony przez administratora jawnym ustawieniem inspekcji.

Aktualizacje systemu Windows wydane 10 października 2023 r. lub później będą wykonywać następujące czynności: 

  • Usuwa obsługę podklucza rejestru KrbtgtFullPacSignature.

  • Usuwa obsługę trybu inspekcji.

  • Wszystkie bilety usługowe bez nowych podpisów PAC zostaną odrzucone uwierzytelnianie.

Wskazówki dotyczące wdrażania

Aby wdrożyć aktualizacje systemu Windows z dnia 8 listopada 2022 r. lub nowsze aktualizacje systemu Windows, wykonaj następujące czynności:

  1. Zaktualizuj kontrolery domeny systemu Windows za pomocą aktualizacji wydanej 8 listopada 2022 r. lub później.

  2. Przenieś kontrolery domeny do trybu inspekcji przy użyciu sekcji ustawień klucza rejestru.

  3. Monitoruj zdarzenia zachowane w trybie inspekcji, aby zabezpieczyć środowisko.

  4. WŁĄCZYĆ Tryb wymuszania w celu rozwiązania problemu CVE-2022-37967 w środowisku.

KROK 1. AKTUALIZACJA 

Wdróż aktualizacje z 8 listopada 2022 r. lub nowsze na wszystkich odpowiednich kontrolerach domeny systemu Windows. Po wdrożeniu aktualizacji zaktualizowane kontrolery domeny systemu Windows będą miały podpisy dodane do buforu PAC protokołu Kerberos i będą domyślnie niezabezpieczone (podpis PAC nie jest weryfikowany).

  • Podczas aktualizowania upewnij się, że wartość rejestru KrbtgtFullPacSignature jest zachowywana w stanie domyślnym do momentu zaktualizowania wszystkich kontrolerów domeny systemu Windows.

KROK 2. PRZENOSZENIE 

Po zaktualizowaniu kontrolerów domeny systemu Windows przełącz się do trybu inspekcji, zmieniając wartość KrbtgtFullPacSignature na 2.  

KROK 3. ZNAJDOWANIE/MONITOROWANIE 

Określ obszary, w których brakuje podpisów PAC lub które mają podpisy PAC, w przypadku których sprawdzanie poprawności kończy się niepowodzeniem za pośrednictwem dzienników zdarzeń wyzwalanych w trybie inspekcji.   

  • Przed przejściem do trybu wymuszania upewnij się, że poziom funkcjonalności domeny jest ustawiony na co najmniej 2008 lub więcej. Przejście do trybu wymuszania z domenami na poziomie funkcjonalności domeny 2003 może spowodować błędy uwierzytelniania.

  • Zdarzenia inspekcji będą wyświetlane, jeśli Twoja domena nie jest w pełni zaktualizowana lub jeśli w Twojej domenie nadal istnieją zaległe bilety na usługi wydane wcześniej.

  • Kontynuuj monitorowanie dodatkowych dzienników zdarzeń, które wskazują brakujące podpisy PAC lub błędy sprawdzania poprawności istniejących podpisów PAC.

  • Po zaktualizowaniu całej domeny i wygaśnięciu wszystkich zaległych biletów zdarzenia inspekcji nie powinny już być wyświetlane. Następnie powinno być możliwe przejście do trybu wymuszania bez niepowodzeń.

KROK 4. WŁĄCZANIE 

Włącz tryb wymuszania, aby rozwiązać problem CVE-2022-37967 w twoim środowisku.

  • Gdy wszystkie zdarzenia inspekcji zostaną rozwiązane i przestaną być wyświetlane, przenieś domeny do trybu wymuszania, aktualizując wartość rejestru KrbtgtFullPacSignature zgodnie z opisem w sekcji Ustawienia klucza rejestru.

  • Jeśli bilet usługi ma nieprawidłowy podpis PAC lub brakuje podpisów PAC, sprawdzanie poprawności zakończy się niepowodzeniem i zostanie zarejestrowane zdarzenie błędu.

Ustawienia klucza rejestru

Protokół Kerberos

Po zainstalowaniu aktualizacji systemu Windows, które są datowane na 8 listopada 2022 lub później, dla protokołu Kerberos jest dostępny następujący klucz rejestru:

  • KrbtgtFullPacSignature Ten klucz rejestru służy do bramy wdrażania zmian Kerberos. Ten klucz rejestru jest tymczasowy i nie będzie już odczytywany po pełnej dacie wy wymuszania z 10 października 2023 r. 

    Klucz rejestru

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Wartość

    KrbtgtFullPacSignature

    Typ danych

    REG_DWORD

    dane

    0 — Wyłączone  

    1 — Dodawane są nowe podpisy, ale nie są weryfikowane. (Ustawienie domyślne)

    2 — Tryb inspekcji. Dodawane są nowe podpisy i weryfikowane, jeśli istnieją. Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest dozwolone i są tworzone dzienniki inspekcji.

    3 — Tryb wymuszania. Dodawane są nowe podpisy i weryfikowane, jeśli istnieją. Jeśli brakuje podpisu lub jest on nieprawidłowy, zostanie odrzucone uwierzytelnianie i zostaną utworzone dzienniki inspekcji.

    Wymagane jest ponowne uruchomienie komputera?

    Nie

    Uwaga Jeśli chcesz zmienić wartość rejestru KrbtgtFullPacSignature, dodaj ręcznie, a następnie skonfiguruj klucz rejestru w celu zastąpienia wartości domyślnej.

Zdarzenia systemu Windows związane z CVE-2022-37967

W trybie inspekcji może wystąpić jeden z następujących błędów, jeśli brakuje podpisów PAC lub są nieprawidłowe. Jeśli ten problem będzie nadal występował w trybie wymuszania, te zdarzenia zostaną zarejestrowane jako błędy.

Jeśli na urządzeniu zostanie znaleziony błąd, prawdopodobnie wszystkie kontrolery domeny systemu Windows w Twojej domenie nie będą zaktualizowane za pomocą aktualizacji systemu Windows z 8 listopada 2022 r. lub nowszej. Aby ograniczyć te problemy, należy dokładniej zbadać domenę, aby znaleźć nieaktualne kontrolery domeny systemu Windows.  

Uwaga Jeśli znajdziesz błąd dotyczący identyfikatora zdarzenia 42, zobacz KB5021131: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37966.

Dziennik zdarzeń

System

Typ zdarzenia

Ostrzeżenie

Źródło zdarzeń

Microsoft-Windows-Kerberos-Key-Distribution-Center

Identyfikator zdarzenia

43

Tekst zdarzenia

W Centrum dystrybucji kluczy (KDC) wystąpił bilet, który nie mógł zweryfikować pełny podpis PAC. Zobacz https://go.microsoft.com/fwlink/?linkid=2210019, aby dowiedzieć się więcej. Klient: <> nazwy>/<

Dziennik zdarzeń

System

Typ zdarzenia

Ostrzeżenie

Źródło zdarzeń

Microsoft-Windows-Kerberos-Key-Distribution-Center

Identyfikator zdarzenia

44

Tekst zdarzenia

W Centrum dystrybucji kluczy wystąpił bilet, który nie zawierał pełnego podpisu PAC. Zobacz https://go.microsoft.com/fwlink/?linkid=2210019, aby dowiedzieć się więcej. Klient: <> nazwy>/<

Urządzenia innych firm implementujące protokół Kerberos

W domenach, które mają kontrolery domeny innych firm, mogą występować błędy w trybie wymuszania.

Po zainstalowaniu aktualizacji systemu Windows z 8 listopada 2022 r. lub nowszej aktualizacji systemu Windows pełne usuwanie domen z klientów innych firm może trwać dłużej.

Skontaktuj się z producentem urządzenia (OEM) lub dostawcą oprogramowania, aby ustalić, czy jego oprogramowanie jest zgodne z najnowszą zmianą protokołu.

Aby uzyskać informacje na temat aktualizacji protokołu, zobacz temat Protokołu Windows w witrynie internetowej firmy Microsoft.

Słownik entry

Kerberos to protokół uwierzytelniania sieci komputerowej, który działa na podstawie "biletów", aby umożliwić węzłom komunikowanie się za pośrednictwem sieci w celu udowodnienia swojej tożsamości w bezpieczny sposób.

Usługa Kerberos implementująca usługi uwierzytelniania i udzielania biletów określone w protokole Kerberos. Usługa działa na komputerach wybranych przez administratora domeny lub domeny. nie jest obecna na każdym komputerze w sieci. Musi mieć dostęp do bazy danych konta dla obszaru, który obsługuje. KDC są zintegrowane z rolą kontrolera domeny. Jest to usługa sieciowa, która dostarcza bilety klientom do wykorzystania w uwierzytelnianiu do usług.

Certyfikat atrybutów uprawnień (PAC) to struktura przekazująca informacje związane z autoryzacją udostępniane przez kontrolery domeny. Aby uzyskać więcej informacji, zobacz Struktura danych certyfikatu atrybutu uprawnień.

Specjalny rodzaj biletu, który może być używany do uzyskania innych biletów. Bilet udzielający biletu (TGT) jest uzyskiwany po początkowym uwierzytelnieniu w wymianie usługi uwierzytelniania (AS). następnie użytkownicy nie muszą przedstawiać swoich poświadczeń, ale mogą użyć TGT do uzyskania kolejnych biletów.

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.