Dziennik zmian
|
Zmiana 1: 5 kwietnia 2023 r.: Przeniesiono fazę "Domyślne wymuszanie" klucza rejestru z 11 kwietnia 2023 r. do 13 czerwca 2023 r. w sekcji "Chronometraż aktualizacji dotyczących CVE-2022-38023". Zmiana 2: 20 kwietnia 2023 r.: Usunięto niedokładne odwołanie do obiektu zasad grupy "Domain Controller: Allow vulnerable Netlogon secure channel connections" (GPO) w sekcji "Ustawienia klucza rejestru". Zmiana 3: 19 czerwca 2023 r.:
|
W tym artykule
Podsumowanie
Aktualizacje systemu Windows z 8 listopada 2022 r. i nowsze usuwają niedociągnięcia protokołu Netlogon, gdy zamiast uszczelniania RPC jest używane podpisywanie RPC. Więcej informacji można znaleźć w cve-2022-38023 .
Interfejs netlogon remote protocol remote procedure call (RPC) służy przede wszystkim do utrzymywania relacji między urządzeniem a jego domeną oraz relacji między kontrolerami domeny i domenami.
Ta aktualizacja domyślnie chroni urządzenia z systemem Windows przed cve-2022-38023 . W przypadku klientów innych firm i kontrolerów domeny innych firm aktualizacja jest domyślnie w trybie zgodności i pozwala na wrażliwe połączenia z takimi klientami. Instrukcje przechodzenia do trybu wymuszania można znaleźć w sekcji Ustawienia klucza rejestru .
Aby zabezpieczyć środowisko, zainstaluj aktualizację systemu Windows z dnia 8 listopada 2022 r. lub nowszą aktualizację systemu Windows na wszystkich urządzeniach, w tym na kontrolerach domeny.
Ważne Począwszy od czerwca 2023 r., tryb wymuszania będzie włączony na wszystkich kontrolerach domeny systemu Windows i będzie blokować wrażliwe połączenia z niezgodnych urządzeń. W tym czasie nie będzie można wyłączyć aktualizacji, ale może wrócić do ustawienia Tryb zgodności. Tryb zgodności zostanie usunięty w lipcu 2023 r., zgodnie z opisem w sekcji Czas aktualizacji w celu wyeliminowania luki w zabezpieczeniach Sieci CVE-2022-38023 .
Termin aktualizacji dotyczących CVE-2022-38023
Aktualizacje zostanie wydana w kilku fazach: początkowa faza aktualizacji wydanych 8 listopada 2022 r. lub później oraz faza wymuszania dla aktualizacji wydanych 11 lipca 2023 r. lub później.
Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 8 listopada 2022 r. i jest kontynuowana z późniejszymi aktualizacjami systemu Windows do fazy wymuszania. Aktualizacje systemu Windows w okresie od 8 listopada 2022 r. usuwają lukę w zabezpieczeniach związaną z luką CVE-2022-38023 przez wymuszanie uszczelniania RPC we wszystkich klientach systemu Windows.
Domyślnie urządzenia będą ustawione w trybie zgodności. Kontrolery domeny systemu Windows będą wymagać, aby klienci Netlogon korzystali z uszczelnienia RPC, jeśli korzystają z systemu Windows lub działają jako kontrolery domeny lub jako konta zaufania.
Aktualizacje systemu Windows wydane 11 kwietnia 2023 r. usuwają możliwość wyłączenia uszczelniania RPC, ustawiając wartość 0 na podkluczu rejestru RequireSeal .
Podklucz RequireSeal rejestru zostanie przeniesiony do trybu Wymuszone, chyba że administratorzy jawnie skonfigurują się w trybie zgodności. Nie można uwierzytelnić wrażliwych połączeń od wszystkich klientów, w tym innych firm. Zobacz Zmienianie 1.
Aktualizacje systemu Windows wydane 11 lipca 2023 r. usuną możliwość ustawienia wartości 1 na podkluczu RequireSeal rejestru. Umożliwia to fazę wymuszania CVE-2022-38023.
Ustawienia klucza rejestru
Po zainstalowaniu aktualizacji systemu Windows z dnia 8 listopada 2022 r. lub później następujący podklucz rejestru jest dostępny dla protokołu Netlogon na kontrolerach domeny systemu Windows.
WAŻNE Ta aktualizacja, jak również przyszłe zmiany wymuszania, nie dodawaj automatycznie ani nie usuwaj podklucza rejestru "RequireSeal". Aby można było odczytać ten podklucz rejestru, należy dodać go ręcznie. Zobacz Zmienianie 3.
RequireSeal podklucz
|
Klucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Wartość |
RequireSeal |
|
Typ danych |
REG_DWORD |
|
dane |
0 — Wyłączone 1 — Tryb zgodności. Kontrolery domeny systemu Windows będą wymagać, aby klienci Netlogon korzystali z funkcji RPC Seal, jeśli korzystają z systemu Windows lub działają jako kontrolery domeny lub konta zaufania. 2 — Tryb wymuszania. Wszyscy klienci są zobowiązani do używania uszczelnienia RPC. Zobacz Zmienianie 2. |
|
Wymagane jest ponowne uruchomienie komputera? |
Nie |
Zdarzenia systemu Windows związane z CVE-2022-38023
UWAGA Następujące zdarzenia mają 1-godzinny bufor, w którym zduplikowane zdarzenia zawierające te same informacje są odrzucane podczas tego buforu.
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Błąd |
|
Źródło zdarzeń |
NETLOGON |
|
Identyfikator zdarzenia |
5838 |
|
Tekst zdarzenia |
Usługa Netlogon napotkała klienta korzystającego z podpisywania RPC zamiast uszczelniania RPC. |
W przypadku znalezienia tego komunikatu o błędzie w dziennikach zdarzeń należy wykonać następujące czynności, aby rozwiązać problem z systemem:
-
Upewnij się, że na urządzeniu działa obsługiwana wersja systemu Windows.
-
Upewnij się, że wszystkie urządzenia są aktualne.
-
Upewnij się, że członek domeny: Członek domeny Szyfrowanie cyfrowe lub podpisywanie bezpiecznych danych kanału (zawsze) ma ustawioną wartość Włączone .
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Błąd |
|
Źródło zdarzeń |
NETLOGON |
|
Identyfikator zdarzenia |
5839 |
|
Tekst zdarzenia |
Usługa Netlogon napotkała zaufanie przy użyciu podpisywania RPC zamiast uszczelniania RPC. |
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzeń |
NETLOGON |
|
Identyfikator zdarzenia |
5840 |
|
Tekst zdarzenia |
Usługa Netlogon utworzyła bezpieczny kanał z klientem z RC4. |
Jeśli znajdziesz zdarzenie 5840, jest to znak, że klient w Twojej domenie używa słabej kryptografii.
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Błąd |
|
Źródło zdarzeń |
NETLOGON |
|
Identyfikator zdarzenia |
5841 |
|
Tekst zdarzenia |
Usługa Netlogon zaprzeczyła klientowi korzystającemu z RC4 z powodu ustawienia "RejectMd5Clients". |
Jeśli znajdziesz zdarzenie 5841, jest to znak, że wartość RejectMD5Clients ma wartość PRAWDA .
Klucz RejectMD5Clients jest wcześniej istniejącym kluczem w usłudze Netlogon. Aby uzyskać więcej informacji, zobacz opis RejectMD5Clients modelu danych abstrakcyjnych.
Często zadawane pytania (często zadawane pytania)
Ten cve dotyczy wszystkich kont komputerów przyłączonych do domeny. Zdarzenia pokazują, kto jest najbardziej dotknięty tym problemem po zainstalowaniu aktualizacji systemu Windows z 8 listopada 2022 r. lub nowszych. Aby rozwiązać te problemy, zapoznaj się z sekcją błędów dziennika zdarzeń .
Aby ułatwić wykrywanie starszych klientów, którzy nie używają najsilniejszej dostępnej kryptografii, ta aktualizacja wprowadza dzienniki zdarzeń dla klientów, którzy używają RC4.
Podpisywanie RPC jest wtedy, gdy protokół Netlogon używa RPC do podpisywania wiadomości wysyłana za pośrednictwem przewodu. Uszczelnienie RPC jest wtedy, gdy protokół Netlogon podpisuje i szyfruje wiadomości wysyłane za pośrednictwem przewodu.
Kontroler domeny systemu Windows określa, czy klient netlogon jest uruchomiony w systemie Windows, sprawdzając atrybut "OperatingSystem" w usłudze Active Directory dla klienta Netlogon i sprawdzając, czy są dostępne następujące ciągi:
-
"Windows", "Hyper-V Server" i "Azure Stack HCI"
Nie zalecamy ani nie obsługujemy zmiany tego atrybutu przez klientów netlogon lub administratorów domeny na wartość, która nie jest reprezentatywna dla systemu operacyjnego uruchomionego przez klienta Netlogon. Należy pamiętać, że możemy zmienić kryteria wyszukiwania w dowolnym momencie. Zobacz Zmienianie 3.
Faza wymuszania nie odrzuca klientów Netlogon na podstawie typu szyfrowania, którego używają klienci. Będzie odrzucać klientów Netlogon tylko wtedy, gdy nie RPC podpisywania zamiast RPC uszczelniania. Odrzucenie klientów Netlogon RC4 jest oparte na kluczu rejestru "RejectMd5Clients" dostępnym dla kontrolerów domeny systemu Windows Server 2008 R2 i nowszych. Faza wymuszania dla tej aktualizacji nie zmienia wartości "RejectMd5Clients". Zalecamy, aby klienci włączyli wartość "RejectMd5Clients" dla wyższych zabezpieczeń w swoich domenach. Zobacz Zmienianie 3.
Słownik entry
Advanced Encryption Standard (AES) to szyfrowanie blokowe, które zastępuje standard szyfrowania danych (DES). AES może służyć do ochrony danych elektronicznych. Algorytm AES może być używany do szyfrowania (szyfrowania) i odszyfrowywania (odszyfrowywania) informacji. Szyfrowanie konwertuje dane na niezrozumiały formularz nazywany szyfrem; Odszyfrowanie szyfrowanego tekstu powoduje przekonwertowanie danych z powrotem na ich oryginalną formę, zwaną zwykłym tekstem. AES jest używany w kryptografii klucza symetrycznego, co oznacza, że ten sam klucz jest używany do operacji szyfrowania i odszyfrowywania. Jest to również szyfrowanie blokowe, co oznacza, że działa na blokach o stałym rozmiarze zwykłego tekstu i szyfru, i wymaga, aby rozmiar zwykłego tekstu oraz szyfru był dokładną wielokrotność tego rozmiaru bloku. AES jest również znany jako algorytm szyfrowania symetrycznego Rijndael [FIPS197] .
W środowisku zabezpieczeń sieci zgodnych z systemem operacyjnym Windows NT składnik odpowiedzialny za funkcje synchronizacji i konserwacji między podstawowym kontrolerem domeny (PDC) a zapasowymi kontrolerami domeny (BDC). Netlogon jest prekursorem protokołu serwera replikacji katalogów (DRS). Interfejs netlogon remote protocol remote procedure call (RPC) służy przede wszystkim do utrzymywania relacji między urządzeniem a jego domeną oraz relacji między kontrolerami domeny i domenami. Aby uzyskać więcej informacji, zobacz Netlogon Remote Protocol.
RC4-HMAC (RC4) to algorytm szyfrowania symetrycznego o zmiennej długości klucza. Aby uzyskać więcej informacji, zobacz [SCHNEIER] sekcja 17.1.
Uwierzytelnione połączenie zdalnego wywołania procedur (RPC) między dwoma komputerami w domenie o ustalonym kontekście zabezpieczeń używanym do podpisywania i szyfrowania pakietów RPC .
