Rezumat
Actualizările din 11 ianuarie 2022, Windows mai recente și mai recente Windows adaugă protecții pentru CVE-2022-21913.
După ce instalați data de 11 ianuarie 2022, actualizările Windows sau actualizările mai recente Windows, criptarea Advanced Encryption Standard (AES) va fi setată ca metodă de criptare preferată pentru clienții Windows atunci când utilizați protocolul moștenit Autoritatea locală de securitate (Domain Authority - Politică de domeniu) (MS-LSAD) pentru operațiunile cu parole de obiecte de domeniu de încredere care sunt trimise într-o rețea. Acest lucru este valabil doar dacă criptarea AES este acceptată de server. Dacă criptarea AES nu este acceptată de server, sistemul va permite revenirea la criptarea RC4 moștenită.
Modificările din CVE-2022-21913 sunt specifice protocolului MS-LSAD. Acestea sunt independente de alte protocoale. MS-LSAD utilizează Server Message Block (SMB) prin apel procedură la distanță
(RPC) și canalele numite. Deși SMB acceptă și criptarea, aceasta nu este activată în mod implicit. În mod implicit, modificările din CVE-2022-21913 sunt activate și furnizează securitate suplimentară la nivel de LSAD. Nu sunt necesare modificări de configurare suplimentare, dincolo de instalarea protecțiilor pentru CVE-2022-21913 care sunt incluse în 11 ianuarie 2022, actualizări Windows și actualizări Windows mai recente pentru toate versiunile de Windows acceptate. Versiunile neacceptate de Windows ar trebui să fie retrase sau să i se facă upgrade la o versiune acceptată.
Notă CVE-2022-21913 modifică modul în care sunt criptate parolele de încredere în tranzit atunci când utilizați API-uri specifice ale protocolului MS-LSAD și nu modificați în mod specific modul în care sunt stocate parolele. Pentru mai multe informații despre cum sunt criptate parolele când se află în Active Directory și local în baza de date SAM (registry), consultați Prezentarea generală tehnică a parolelor.
Mai multe informații
Modificări efectuate de actualizările din 11 ianuarie 2022
-
Model obiect politică
Actualizările modifică modelul obiectului de politică al protocolului adăugând o nouă metodă Open Policy care permite clientului și serverului să partajeze informații despre asistența AES.Metoda veche care utilizează RC4
Metodă nouă utilizând AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Pentru o listă completă a opnums de protocol MS-LSAR, consultați [MS-LSAD]: Evenimentede procesare a mesajelor și Reguli de secvență.
-
Trusted Domain Object pattern
Actualizările modifică obiectul de încredere din domeniu Creați modelul protocolului adăugând o metodă nouă pentru a crea o încredere care va utiliza AES pentru a cripta datele de autentificare.
API-ul LsaCreateTrustedDomainEx va prefera acum noua metodă dacă atât clientul, cât și serverul sunt actualizate și revin la metoda mai veche.
Metoda veche care utilizează RC4
Metodă nouă utilizând AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Actualizările modifică modelul setului de obiecte de încredere al protocolului adăugând două noi clase de informații de încredere la metodele LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Puteți seta informațiile pentru Obiectul de domeniu de încredere după cum urmează.
Metoda veche care utilizează RC4
Metodă nouă utilizând AES
LsarSetInformationTrustedDomain (Opnum 27) împreună cu TrustedDomainAuthInformationInternal sau TrustedDomainFullInformationInternal (conține o parolă de încredere criptată care utilizează RC4)
LsarSetInformationTrustedDomain (Opnum 27) împreună cu TrustedDomainAuthInformationInternalAes sau TrustedDomainFullInformationAes (conține o parolă de încredere criptată care utilizează AES)
LsarSetTrustedDomainInfoByName (Opnum 49) împreună cu TrustedDomainAuthInformationInternal sau TrustedDomainFullInformationInternal (conține o parolă cu încredere criptată care utilizează RC4 și toate celelalte atribute)
LsarSetTrustedDomainInfoByName (Opnum 49) împreună cu TrustedDomainAuthInformationInternalAes sau TrustedDomainFullInformationInternalAes (conține o parolă de încredere criptată care utilizează AES și toate celelalte atribute)
Cum funcționează comportamentul nou
Metoda LsarOpenPolicy2 existentă este utilizată de obicei pentru a deschide un handle de context pe serverul RPC. Aceasta este prima funcție care trebuie apelată pentru a contacta baza de date Remote Protocol la distanță (Local Security Authority - Politică de domeniu). După ce instalați aceste actualizări, metoda LsarOpenPolicy2 este supersedată de noua metodă LsarOpenPolicy3.
Un client actualizat care apelează API-ul LsaOpenPolicy va apela acum metoda LsarOpenPolicy3 mai întâi. Dacă serverul nu este actualizat și nu implementează metoda LsarOpenPolicy3, clientul se întoarce la metoda LsarOpenPolicy2 și utilizează metodele anterioare care utilizează criptarea RC4.
Un server actualizat va returna un bit nou în răspunsul metodei LsarOpenPolicy3, așa cum este definit în LSAPR_REVISION_INFO_V1. Pentru mai multe informații, consultați secțiunile "Utilizarea descifrului AES" și "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" din MS-LSAD.
Dacă serverul acceptă AES, clientul va utiliza noile metode și noile clase de informații pentru operațiunile ulterioare de "creare" și "setare" a domeniului de încredere. Dacă serverul nu returnează această semnalizare sau dacă clientul nu este actualizat, clientul va reveni la utilizarea metodelor anterioare care utilizează criptarea RC4.
Înregistrarea în jurnal a evenimentelor
Pe 11 ianuarie 2022, actualizările adaugă un eveniment nou în jurnalul de evenimente de securitate pentru a ajuta la identificarea dispozitivelor care nu sunt actualizate și pentru a contribui la îmbunătățirea securității.
|
Valoare |
Semnificație |
|---|---|
|
Sursa evenimentului |
Microsoft-Windows-Security |
|
ID eveniment |
6425 |
|
Nivel |
Informații |
|
Textul mesajului eveniment |
Un client de rețea a utilizat o metodă RPC moștenită pentru a modifica informațiile de autentificare pe un obiect de domeniu de încredere. Informațiile de autentificare au fost criptate cu un algoritm de criptare moștenit. Luați în considerare upgrade-ul sistemului de operare sau al aplicației client pentru a utiliza cea mai recentă și mai sigură versiune a acestei metode. Domeniu de încredere:
Modificat de:
Adresă rețea client: Pentru mai multe informații, accesați https://go.microsoft.com/fwlink/?linkid=2161080. |
Întrebări frecvente (Întrebări frecvente)
Î1: Ce scenarii declanșează o downgrade de la AES la RC4?
A1: Dacă serverul sau clientul nu acceptă AES, va avea loc un downgrade.
Î2: Cum pot determina dacă s-a negociat criptarea RC4 sau criptarea AES?
A2: Serverele actualizate vor înregistra evenimentul 6425 atunci când sunt utilizate metode moștenite care utilizează RC4.
Î3: Pot solicita criptarea AES pe server și, în viitor, Windows impune prin program utilizarea AES?
A3: Momentan nu este disponibil niciun mod de impunere. Cu toate acestea, ar putea exista în viitor, deși nu este planificată nicio astfel de modificare.
Î4: Clienții terți acceptă protecții pentru CVE-2022-21913 pentru a negocia AES atunci când sunt acceptate de server? Trebuie să contactez Asistența Microsoft sau echipa de asistență terță pentru a adresa această întrebare?
A4: Dacă un dispozitiv sau o aplicație terță nu utilizează protocolul MS-LSAD, acest lucru nu este important. Distribuitorii terți care implementează protocolul MS-LSAD pot alege să implementeze acest protocol. Pentru mai multe informații, contactați distribuitorul terț.
Î5: Trebuie efectuate modificări suplimentare de configurație?
A5: Nu sunt necesare modificări suplimentare de configurare.
Î6: Ce utilizează acest protocol?
A6: Protocolul MS-LSAD este utilizat de mai multe componente Windows, inclusiv Active Directory și instrumente, cum ar fi active Directory Domains și consola Trusts. Aplicațiile pot utiliza acest protocol și prin API-uri de bibliotecă advapi32, cum ar fi LsaOpenPolicy sau LsaCreateTrustedDomainEx.
