Podsumowanie
Aktualizacje zabezpieczeń systemu Windows wydane 9 kwietnia 2024 r. lub później usuwają luki w zabezpieczeniach uprawnień za pomocą protokołu kerberos PAC Validation Protocol. Certyfikat atrybutu uprawnień (PAC) jest rozszerzeniem biletów usługi Kerberos. Zawiera informacje o uwierzytelnianiu użytkownika i jego uprawnieniach. Ta aktualizacja usuwa lukę w zabezpieczeniach polegającą na tym, że użytkownik tego procesu może sfałszować podpis, aby pominąć testy zabezpieczeń sprawdzania poprawności podpisu PAC dodane w KB5020805: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37967.
Aby dowiedzieć się więcej o tych lukach, odwiedź strony CVE-2024-26248 i CVE-2024-29056.
Podejmij działanie
WAŻNEKrok 1, aby zainstalować aktualizację wydaną 9 kwietnia 2024 r. w okresie od 9 kwietnia 2024 r. NIE rozwiąże w pełni problemów z zabezpieczeniami w wersjach CVE-2024-26248 i CVE-2024-29056 . Aby całkowicie ograniczyć problem z zabezpieczeniami dla wszystkich urządzeń, musisz przejść do trybu wymuszonego (opisanego w kroku 3), gdy środowisko zostanie w pełni zaktualizowane.
Aby pomóc chronić środowisko i zapobiec awariom, zalecamy następujące czynności:
-
AKTUALIZACJI: Kontrolery domeny systemu Windows i klienci systemu Windows muszą zostać zaktualizowani o aktualizację zabezpieczeń systemu Windows wydaną 9 kwietnia 2024 r. lub później.
-
MONITOR: Zdarzenia inspekcji będą widoczne w trybie zgodności w celu zidentyfikowania urządzeń, które nie zostały zaktualizowane.
-
WŁĄCZYĆ: Po pełnym włączeniu trybu wymuszania w środowisku zostaną złagodzone luki opisane w cve-2024-26248 i CVE-2024-29056 .
Tło
Gdy stacja robocza systemu Windows wykonuje sprawdzanie poprawności PAC dla przychodzącego przepływu uwierzytelniania Kerberos, wykonuje nowe żądanie (logowanie biletu sieciowego) w celu zweryfikowania biletu usługi. Żądanie jest początkowo przesyłane dalej do kontrolera domeny (DC) domeny Workstations za pośrednictwem usługi Netlogon.
Jeśli konto usługi i konto komputera należą do różnych domen, żądanie jest przenoszone przez niezbędne relacje zaufania za pośrednictwem usługi Netlogon, dopóki nie dotrze do domeny usług. W przeciwnym razie sprawdzanie poprawności jest wykonywane przez kontroler domeny kont komputerów. Następnie kontroler domeny dzwoni do Centrum dystrybucji kluczy (KDC) w celu weryfikacji podpisów PAC biletu usługi i wysyła informacje o użytkownikach i urządzeniach z powrotem do stacji roboczej.
Jeśli żądanie i odpowiedź są przesyłane dalej w ramach relacji zaufania (w przypadku, gdy konto usługi i konto stacji roboczej należą do różnych domen), każdy kontroler domeny w relacji zaufania filtruje dane autoryzacji odnoszące się do niego.
Oś czasu zmian
Aktualizacje są udostępniane w następujący sposób. Należy pamiętać, że ten harmonogram wersji może zostać zmieniony w razie potrzeby.
Początkowa faza wdrażania rozpoczyna się wraz z aktualizacjami wydanymi 9 kwietnia 2024 r. Ta aktualizacja dodaje nowe zachowanie, które zapobiega podniesieniu luk w zabezpieczeniach uprawnień opisanych w cve-2024-26248 i CVE-2024-29056 , ale nie wymusza ich, chyba że zostaną zaktualizowane zarówno kontrolery domeny systemu Windows, jak i klienci systemu Windows w środowisku.
Aby włączyć nowe zachowanie i ograniczyć luki w zabezpieczeniach, musisz upewnić się, że zaktualizowano całe środowisko systemu Windows (w tym zarówno kontrolery domeny, jak i klientów). Zdarzenia inspekcji zostaną zarejestrowane, aby ułatwić identyfikowanie urządzeń, które nie są aktualizowane.
Aktualizacje wydana 15 października 2024 r. spowoduje przeniesienie wszystkich kontrolerów domeny i klientów systemu Windows w środowisku do trybu Wymuszone przez zmianę ustawień podklucza rejestru na PacSignatureValidationLevel=3 i CrossDomainFilteringLevel=4, wymuszając domyślnie bezpieczne zachowanie.
Ustawienia Wymuszone przez domyślnie mogą zostać zastąpione przez administratora, aby przywrócić tryb zgodności .
Aktualizacje zabezpieczeń systemu Windows wydane 8 kwietnia 2025 r. lub później usuną obsługę podkluczy rejestru PacSignatureValidationLevel i CrossDomainFilteringLevel oraz wymuszą nowe bezpieczne zachowanie. Po zainstalowaniu tej aktualizacji nie będzie dostępna obsługa trybu zgodności .
Potencjalne problemy i środki łagodzące
Mogą wystąpić potencjalne problemy, w tym błędy sprawdzania poprawności pac i filtrowania między lasami. Aktualizacja zabezpieczeń z 9 kwietnia 2024 r. zawiera ustawienia logiki rezerwowej i rejestru w celu złagodzenia tych problemów
Ustawienia rejestru
Ta aktualizacja zabezpieczeń jest oferowana dla urządzeń z systemem Windows (w tym kontrolerów domeny). Następujące klucze rejestru kontrolujące zachowanie muszą zostać wdrożone tylko na serwerze Kerberos, który akceptuje uwierzytelnianie przychodzące Kerberos i wykonuje sprawdzanie poprawności PAC.
Podklucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
Wartość |
PacSignatureValidationPoziom |
|
Typ danych |
REG_DWORD |
|
dane |
2 |
Domyślne (zgodność ze środowiskiem niezaładowanym) |
3 |
Wymusić |
|
Wymagane ponowne uruchomienie? |
Nie |
Podklucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
Wartość |
CrossDomainFilteringLevel |
|
Typ danych |
REG_DWORD |
|
dane |
2 |
Domyślne (zgodność ze środowiskiem niezaładowanym) |
4 |
Wymusić |
|
Wymagane ponowne uruchomienie? |
Nie |
Ten klucz rejestru można wdrożyć zarówno na serwerach systemu Windows akceptujących przychodzące uwierzytelnianie Kerberos, jak i na dowolnym kontrolerze domeny systemu Windows, który sprawdza poprawność nowego przepływu logowania przy użyciu biletu sieciowego.
Podklucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Wartość |
AuditKerberosTicketLogonEvents |
|
Typ danych |
REG_DWORD |
|
dane |
1 |
Domyślne — rejestrowanie zdarzeń krytycznych |
2 |
Rejestrowanie wszystkich zdarzeń netlogonu |
|
0 |
Nie loguj zdarzeń netlogonu |
|
Wymagane ponowne uruchomienie? |
Nie |
Dzienniki zdarzeń
Następujące zdarzenia inspekcji protokołu Kerberos zostaną wygenerowane na serwerze Kerberos, który akceptuje uwierzytelnianie przychodzące Kerberos. Ten serwer Kerberos będzie wykonywać sprawdzanie poprawności PAC, który korzysta z nowego przepływu logowania biletu sieciowego.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Informacyjne |
Źródło zdarzenia |
Security-Kerberos |
Identyfikator zdarzenia |
21 |
Tekst zdarzenia |
Podczas logowania przy użyciu biletu sieciowego Protokołu Kerberos bilet usługi account <account> from Domain <Domain> miał następujące czynności wykonywane przez> kontrolera domeny dc <. Aby uzyskać więcej informacji, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2262558. |
To zdarzenie jest wyświetlane, gdy kontroler domeny podjął akcję nieśmiertelną podczas logowania się na bilet sieciowy. Obecnie rejestrowane są następujące akcje:
-
Identyfikatory SID użytkowników zostały odfiltrowane.
-
Identyfikatory SID urządzeń zostały odfiltrowane.
-
Tożsamość złożona została usunięta z powodu filtrowania SID uniemożliwiającego tożsamość urządzenia.
-
Tożsamość złożona została usunięta z powodu filtrowania SID uniemożliwiającego nazwę domeny urządzenia.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Błąd |
Źródło zdarzenia |
Security-Kerberos |
Identyfikator zdarzenia |
22 |
Tekst zdarzenia |
Podczas logowania przy użyciu biletu sieciowego Kerberos> DC <DC odrzucił bilet usługi dla> konta <konta z domeny Domain <Domain> z poniższych powodów. Aby uzyskać więcej informacji, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2262558. |
To zdarzenie jest wyświetlane, gdy kontroler domeny odrzucił żądanie logowania biletu sieciowego z przyczyn pokazanych w zdarzeniu.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie lub błąd |
Źródło zdarzenia |
Security-Kerberos |
Identyfikator zdarzenia |
23 |
Tekst zdarzenia |
Podczas logowania przy użyciu biletu sieciowego Protokołu Kerberos bilet usługi account <account_name> z <domain_name> domeny nie mógł zostać przesłany dalej do kontrolera domeny w celu obsługi żądania. Aby uzyskać więcej informacji, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2262558. |
-
To zdarzenie jest wyświetlane jako ostrzeżenie, jeśli wartość PacSignatureValidationLevel AND CrossDomainFilteringLevel nie jest ustawiona na Wymuszanie lub bardziej rygorystyczne. Po zalogowaniu jako ostrzeżenie zdarzenie wskazuje, że przepływy logowania biletu sieciowego skontaktowały się z kontrolerem domeny lub równoważnym urządzeniem, które nie rozumiało nowego mechanizmu. Uwierzytelnianie mogło wrócić do poprzedniego zachowania.
-
To zdarzenie jest wyświetlane jako błąd, jeśli wartość PacSignatureValidationLevel LUB CrossDomainFilteringLevel jest ustawiona na Wymuszanie lub bardziej rygorystyczne. To zdarzenie jako "błąd" oznacza, że przepływ logowania biletu sieciowego skontaktował się z kontrolerem domeny lub równoważnym urządzeniem, które nie rozumiało nowego mechanizmu. Uwierzytelnianie zostało odrzucone i nie można wrócić do poprzedniego zachowania.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Błąd |
Źródło zdarzenia |
Netlogon |
Identyfikator zdarzenia |
5842 |
Tekst zdarzenia |
Usługa Netlogon napotkała nieoczekiwany błąd podczas przetwarzania żądania logowania biletu sieciowego Kerberos. Aby uzyskać więcej informacji, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2261497. Konto biletu serwisowego:> konta < Domena biletu usługi:> domeny < Nazwa stacji roboczej: nazwa komputera <> Stan: kod błędu <> |
To zdarzenie jest generowane, gdy netlogon napotkał nieoczekiwany błąd podczas żądania logowania biletu sieciowego. To zdarzenie jest rejestrowane, gdy wartość AuditKerberosTicketLogonEvents jest ustawiona na (1) lub nowszą.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie |
Źródło zdarzenia |
Netlogon |
Identyfikator zdarzenia |
5843 |
Tekst zdarzenia |
Usługa Netlogon nie przesłała dalej żądania logowania biletu sieciowego Kerberos do kontrolera domeny <> DC. Aby uzyskać więcej informacji, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2261497. Konto biletu serwisowego:> konta < Domena biletu usługi:> domeny < Nazwa stacji roboczej: nazwa komputera <> |
To zdarzenie jest generowane za każdym razem, gdy netlogon nie mógł ukończyć logowania biletu sieciowego, ponieważ kontroler domeny nie rozumiał zmian. Ze względu na ograniczenia protokołu Netlogon klient Netlogon nie może ustalić, czy kontroler domeny, z którym klient Netlogon rozmawia bezpośrednio, jest tym, który nie rozumie zmian, ani czy jest kontrolerem domeny w łańcuchu przesyłania dalej, który nie rozumie zmian.
-
Jeśli domena biletu usługi jest taka sama jak domena konta komputera, prawdopodobnie kontroler domeny w dzienniku zdarzeń nie rozumie przepływu logowania biletu sieciowego.
-
Jeśli domena biletu usługi różni się od domeny konta komputera, jeden z kontrolerów domeny po drodze od domeny konta komputera do domeny konta usługi nie rozumiał przepływu logowania biletu sieciowego
To zdarzenie jest domyślnie wyłączone. Firma Microsoft zaleca, aby użytkownicy najpierw zaktualizowali całą swoją flotę przed włączeniem wydarzenia.
To zdarzenie jest rejestrowane, gdy wartość AuditKerberosTicketLogonEvents jest ustawiona na wartość (2).
Często zadawane pytania (często zadawane pytania)
Kontroler domeny, który nie jest aktualizowany, nie rozpozna tej nowej struktury żądań. Spowoduje to niepowodzenie sprawdzania zabezpieczeń. W trybie zgodności będzie używana stara struktura żądań. Ten scenariusz jest nadal narażony na CVE-2024-26248 i CVE-2024-29056.
Tak. Dzieje się tak dlatego, że nowy przepływ logowania biletu sieciowego może wymagać przekierowania między domenami, aby dotrzeć do domeny konta usługi.
Sprawdzanie poprawności pac może zostać pominięte w pewnych okolicznościach, w tym między innymi w następujących scenariuszach:
-
Jeśli usługa ma uprawnienie TCB. Ogólnie rzecz biorąc, usługi działające w kontekście konta SYSTEM (takie jak udziały plików SMB lub serwery LDAP) mają to uprawnienie.
-
Jeśli usługa jest uruchamiana z poziomu Harmonogramu zadań.
W przeciwnym razie sprawdzanie poprawności pac jest wykonywane dla wszystkich przepływów uwierzytelniania protokołu Kerberos ruchu przychodzącego.
Te cve obejmują lokalne podniesienie uprawnień, gdy złośliwe lub naruszone konto usługi uruchomione na stacji roboczej systemu Windows próbuje podnieść swoje uprawnienia w celu uzyskania lokalnych praw administracyjnych. Oznacza to, że dotyczy tylko stacji roboczej systemu Windows akceptującej przychodzące uwierzytelnianie Kerberos.