Resumo
As atualizações de 11 de janeiro de 2022 Windows e posteriores do Windows adicionam proteção para CVE-2022-21913.
Após instalar as atualizações de 11 de janeiro de 2022, as atualizações do Windows ou as atualizações mais recentes do Windows, a encriptação Advanced Encryption Standard (AES) será definida como método de encriptação preferencial para clientes do Windows quando utilizar o protocolo legado das Autoridades de Segurança Local (Domain Policy) (MS-LSAD) para operações de palavra-passe de objeto de domínio fidedcrita que são enviadas através de uma rede. Isto só se acontece se a encriptação AES for suportada pelo servidor. Se a encriptação AES não for suportada pelo servidor, o sistema permitirá a encriptação RC4 legada.
As alterações no CVE-2022-21913 são específicas do protocolo MS-LSAD. São independentes de outros protocolos. O MS-LSAD utiliza o Bloco de Mensagens do Servidor (SMB) durante a chamada de procedimento remoto (RPC) e pipes nomeados. Apesar de SMB também suportar encriptação, não está ativada por predefinição. Por predefinição, as alterações no CVE-2022-21913 são ativadas e fornecem segurança adicional na camada LSAD. Não são necessárias alterações de configuração adicionais para além da instalação das proteções para o CVE-2022-21913 incluídas nas atualizações de 11 de janeiro de 2022 do Windows e atualizações de Windows posteriores em todas as versões suportadas do Windows. As versões não Windows devem ser descontinuadas ou atualizadas para uma versão suportada.
Nota: oCVE-2022-21913 modifica apenas a forma como as palavras-passe de confiança são encriptadas em trânsito quando utiliza APIs específicas do protocolo MS-LSAD e, especificamente, não modifica a forma como as palavras-passe são armazenadas. Para obter mais informações sobre como as palavras-passe são encriptadas inescritas no Active Directory e localmente na Base de Dados SAM (registo), consulte Resumo técnico das palavras-passe.
Mais informações
Alterações feitas pelas atualizações de 11 de janeiro de 2022
-
Padrão objeto da política
As atualizações modificam o padrão Objeto da Política do protocolo ao adicionar um novo método Open Policy que permite ao cliente e ao servidor partilhar informações sobre o suporte AES.Método antigo com RC4
Novo método de utilização do AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Para uma lista completa das opnums do protocolo MS-LSAR, consulte [MS-LSAD]:Eventos de Processamento de Mensagens e Regras de Sequenciação.
-
Padrão de Objeto de Domínio Fidededens por Domínio
As atualizações modificam o padrão Trusted Domain Object Create do protocolo ao adicionar um novo método para criar uma confiança que irá utilizar o AES para encriptar dados de autenticação.
A API LsaCreateTrustedDomainEx irá agora preferir o novo método se o cliente e o servidor estiverem atualizados e voltarem ao método mais antigo, caso contrário.
Método antigo com RC4
Novo método de utilização do AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
As atualizações modificam o padrão Domain Object Set do protocolo ao adicionar duas novas Classes de Informações Fidedervas aos métodos LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Pode definir informações sobre o Objeto de Domínio Fidededens por domínio da seguinte forma.
Método antigo com RC4
Novo método de utilização do AES
LsarSetInformationTrustedDomain (Opnum 27) juntamente com TrustedDomainAuthInformationInternal ou TrustedDomainFullInformationInternal (tem uma palavra-passe de confiança encriptada que utiliza RC4)
LsarSetInformationTrustedDomain (Opnum 27) juntamente com TrustedDomainAuthInformationInternalAes ou TrustedDomainFullInformationAes (tem uma palavra-passe de confiança encriptada que utiliza AES)
LsarSetTrustedDomainInfoByName (Opnum 49) juntamente com TrustedDomainAuthInformationInternal ou TrustedDomainFullInformationInternal (tem uma palavra-passe de confiança encriptada que utiliza RC4 e todos os outros atributos)
LsarSetTrustedDomainInfoByName (Opnum 49) juntamente com TrustedDomainAuthInformationInternalAes ou TrustedDomainFullInformationInternalAes (tem uma palavra-passe de confiança encriptada que utiliza AES e todos os outros atributos)
Como funciona o novo comportamento
O método LsarOpenPolicy2 existente é geralmente utilizado para abrir uma alça de contexto para o servidor RPC. Esta é a primeira função a que tem de ser chamada para contactar a base de dados do Protocolo Remoto das Autoridades de Segurança Local (Política de Domínio). Após instalar estas atualizações, o método LsarOpenPolicy2 é superado pelo novo método LsarOpenPolicy3.
Um cliente atualizado que chame a API LsaOpenPolicy irá agora chamar primeiro o método LsarOpenPolicy3. Se o servidor não estiver atualizado e não implementar o método LsarOpenPolicy3, o cliente regressa ao método LsarOpenPolicy2 e utiliza os métodos anteriores que utilizam a encriptação RC4.
Um servidor atualizado irá devolver um novo bit na resposta ao método LsarOpenPolicy3, conforme definido no LSAPR_REVISION_INFO_V1. Para obter mais informações, consulte as secções "Utilização de Cipher Usage" LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES AES no MS-LSAD.
Se o servidor suportar AES, o cliente irá utilizar os novos métodos e novas classes de informações para operações de domínios "criar" e "definir" subsequentes. Se o servidor não devolver este sinalizador ou se o cliente não estiver atualizado, o cliente voltará a utilizar os métodos anteriores que utilizam encriptação RC4.
Registo de eventos
As atualizações de 11 de janeiro de 2022 adicionam um novo evento ao registo de eventos de segurança para ajudar a identificar dispositivos que não estão atualizados e para ajudar a melhorar a segurança.
Valor |
Significado |
---|---|
Origem do evento |
Microsoft-Windows-Security |
ID do Evento |
6425 |
Nível |
Informações |
Texto da mensagem do evento |
Um cliente de rede usou um método RPC legado para modificar as informações de autenticação num objeto de domínio de confiança. As informações de autenticação foram encriptadas com um algoritmo de encriptação legado. Considere atualizar o sistema operativo ou aplicação cliente para utilizar a versão mais recente e mais segura deste método. Domínio Fided fundo:
Modificado Por:
Endereço de Rede do Cliente: Nome do Método RPC:Para obter mais informações, vá a https://go.microsoft.com/fwlink/?linkid=2161080. |
Perguntas Mais Frequentes (FAQ)
P1: Que cenários acionam uma atualização de AES para RC4?
A1: Ocorre uma atualização para baixo se o servidor ou cliente não suportar AES.
P2: Como posso saber se a encriptação RC4 ou a encriptação AES foi negociação?
A2: Os servidores atualizados registarão o evento 6425 quando são utilizados métodos legados que utilizem RC4.
P3: Posso exigir encriptação AES no servidor e as atualizações serão aplicadas através de programação através Windows AES?
A3: Atualmente, não existe nenhum modo de imposição disponível. No entanto, poderá haver no futuro, embora essa alteração não esteja agendada.
P4: São suportadas por clientes terceiros proteções para o CVE-2022-21913 para chegar à negociação do AES quando o servidor for suportado? Devo contactar o Suporte da Microsoft ou a equipa de suporte de terceiros para abordar esta pergunta?
A4: Se um dispositivo ou aplicação de terceiros não estiver a utilizar o protocolo MS-LSAD, isso não é importante. Os fornecedores terceiros que implementem o protocolo MS-LSAD podem optar por implementar este protocolo. Para obter mais informações, contacte o fornecedor.
P5: Tem de fazer alterações de configuração adicionais?
A5: Não são necessárias alterações de configuração adicionais.
P6: O que utiliza este protocolo?
A6: O protocolo MS-LSAD é utilizado por muitos componentes Windows, incluindo o Active Directory e ferramentas como a consola Domínios e Confianças do Active Directory. As aplicações também podem utilizar este protocolo através das APIs da biblioteca advapi32, tais como LsaOpenPolicy ou LsaCreateTrustedDomainEx.