KB5021130: Como gerir as alterações ao protocolo Netlogon relacionadas com o CVE-2022-38023

A fase de implementação inicial começa com as atualizações lançadas a 8 de novembro de 2022 e continua com as atualizações posteriores do Windows até à fase de Imposição. As atualizações do Windows em ou depois de 8 de novembro de 2022 resolvem a vulnerabilidade de desativação da segurança do CVE-2022-38023 ao impor a selagem RPC em todos os clientes Windows.

Por predefinição, os dispositivos serão definidos no modo de Compatibilidade. Os controladores de domínio do Windows exigirão que os clientes Netlogon utilizem o selo RPC se estiverem a executar o Windows ou se estiverem a agir como controladores de domínio ou como contas fidedignas.

As atualizações do Windows lançadas a 11 de abril de 2023 ou depois de 11 de abril de 2023 irão remover a capacidade de desativar a selagem RPC ao definir o valor 0 para a subchave do registo RequireSeal .

A subchave do registo RequireSeal será movida para o modo Imposto, a menos que os Administradores configurem explicitamente para estarem no modo de Compatibilidade. As ligações vulneráveis de todos os clientes, incluindo terceiros, serão negadas à autenticação. Consulte Alterar 1.

As atualizações do Windows disponibilizadas a 11 de julho de 2023 irão remover a capacidade de definir o valor 1 para a subchave do registo RequireSeal . Isto permite a fase de Imposição do CVE-2022-38023.

Se encontrar esta mensagem de erro nos registos de eventos, terá de efetuar as seguintes ações para resolver o erro do sistema:

• Confirme que o dispositivo está a executar uma versão suportada do Windows.

• Verifique se todos os dispositivos estão atualizados.

• Certifique-se de que Membro do domínio: o membro do domínio Encriptar digitalmente ou assinar dados de canal seguro (sempre) está definido como Ativado .

Se encontrar o Evento 5840, este é um sinal de que um cliente no seu domínio está a utilizar criptografia fraca.

Se encontrar o Evento 5841, este é um sinal de que o valor RejectMD5Clients está definido como VERDADEIRO .

A chave RejectMD5Clients é uma chave pré-existente no serviço Netlogon. Para obter mais informações, veja a descrição RejectMD5Clients do Modelo de Dados Abstrato.

Todas as contas de computador associadas a um domínio são afetadas por este CVE. Os eventos mostrarão quem é o mais afetado por este problema após a instalação das atualizações do Windows de 8 de novembro de 2022 ou posteriores. Veja a secção Erros do Registo de Eventos para resolver os problemas.

Para ajudar a detetar clientes mais antigos que não estão a utilizar a cripto mais forte disponível, esta atualização apresenta registos de eventos para clientes que estão a utilizar o RC4.

A assinatura RPC ocorre quando o protocolo Netlogon utiliza RPC para assinar as mensagens que envia através do fio. A vedação RPC ocorre quando o protocolo Netlogon assina e encripta as mensagens que envia através do fio.

O Controlador de Domínio do Windows determina se um cliente Netlogon está a executar o Windows ao consultar o atributo "OperatingSystem" no Active Directory para o cliente Netlogon e ao verificar as seguintes cadeias:

• "Windows", "Hyper-V Server" e "Azure Stack HCI"

Não recomendamos nem suportamos que este atributo seja alterado por clientes netlogon ou administradores de domínio para um valor que não seja representativo do sistema operativo (SO) que o cliente Netlogon está a executar. Deve estar ciente de que podemos alterar os critérios de pesquisa em qualquer altura. Consulte Alterar 3.

A fase de imposição não rejeita os clientes Netlogon com base no tipo de encriptação que os clientes utilizam. Só rejeitará os clientes Netlogon se assinarem RPC em vez de Selagem RPC. A rejeição de clientes Netlogon RC4 baseia-se na chave de registo "RejectMd5Clients" disponível para o Windows Server 2008 R2 e controladores de domínio do Windows posteriores. A fase de imposição desta atualização não altera o valor "RejectMd5Clients". Recomendamos que os clientes ativem o valor "RejectMd5Clients" para uma maior segurança nos seus domínios. Consulte Alterar 3.

A Norma de Encriptação Avançada (AES) é uma cifra de bloco que substitui a Norma de Encriptação de Dados (DES). A AES pode ser utilizada para proteger dados eletrónicos. O algoritmo AES pode ser utilizado para encriptar (encifra) e desencriptar (decifrar) informações. A encriptação converte dados num formulário ininteligível denominado cifratext; A desencriptação do texto cifra converte os dados novamente na sua forma original, denominada texto simples. A AES é utilizada na criptografia de chave simétrica, o que significa que a mesma chave é utilizada para as operações de encriptação e desencriptação. É também uma cifra de bloco, o que significa que opera em blocos de tamanho fixo de texto simples e cifratexto, e requer o tamanho do texto simples, bem como o texto cifrado para ser um múltiplo exato deste tamanho de bloco. O AES também é conhecido como o algoritmo de encriptação simétrica Rijndael [FIPS197] .

Num ambiente de segurança de rede compatível com o sistema operativo Windows NT, o componente responsável pelas funções de sincronização e manutenção entre um controlador de domínio primário (PDC) e controladores de domínio de cópia de segurança (BDC). O Netlogon é um precursor do protocolo de servidor de replicação de diretórios (DRS). A interface de chamada de procedimento remoto (RPC) netlogon Remote Protocol é utilizada principalmente para manter a relação entre um dispositivo e o respetivo domínio e relações entre controladores de domínio (DCs) e domínios. Para obter mais informações, veja Netlogon Remote Protocol (Protocolo Remoto Netlogon).

RC4-HMAC (RC4) é um algoritmo de encriptação simétrica de comprimento de chave variável. Para obter mais informações, consulte a secção [SCHNEIER] 17.1.

Uma ligação de chamada de procedimento remoto autenticada (RPC) entre duas máquinas num domínio com um contexto de segurança estabelecido utilizado para assinar e encriptar pacotes RPC .