Jurnal de modificări
|
Modificare 1: 5 aprilie 2023: S-a mutat etapa "Impunere în mod implicit" a cheii de registry de la 11 aprilie 2023 la 13 iunie 2023 în secțiunea "Temporizarea actualizărilor pentru adresa CVE-2022-38023". Schimbarea 2: 20 aprilie 2023: S-a eliminat referința incorectă la "Controler de domeniu: Permiteți conexiuni de canal securizate Netlogon vulnerabile" obiect de politică de grup (GPO) în secțiunea "Setări cheie de registry". Schimbarea 3: 19 iunie 2023:
|
În acest articol
Rezumat
Actualizările Windows din 8 noiembrie 2022 și mai recente remediază deficiențele din protocolul Netlogon atunci când se utilizează semnarea RPC în locul sigilării RPC. Mai multe informații pot fi găsite în CVE-2022-38023 .
Interfața Netlogon Remote Protocol Remote Procedure Call (RPC) este utilizată în principal pentru a menține relația dintre un dispozitiv și domeniul său și relațiile dintre controlerele de domeniu (DCs) și domenii.
Această actualizare protejează dispozitivele Windows de CVE-2022-38023 în mod implicit. Pentru clienții terți și controlerele de domeniu de la terți, actualizarea este în mod implicit în Modul compatibilitate și permite conexiuni vulnerabile de la astfel de clienți. Consultați secțiunea Setări cheie de registry pentru pașii necesari trecerii la modul Impunere.
Pentru a contribui la securizarea mediului, instalați actualizarea Windows datată 8 noiembrie 2022 sau o actualizare Windows mai recentă pentru toate dispozitivele, inclusiv pentru controlerele de domeniu.
Important Începând din iunie 2023, modul Impunere va fi activat pe toate controlerele de domeniu Windows și va bloca conexiunile vulnerabile de la dispozitivele neconforme. În acel moment, nu veți putea dezactiva actualizarea, dar puteți reveni la setarea Mod compatibilitate. Modul de compatibilitate va fi eliminat în iulie 2023, așa cum se arată în secțiunea Temporizarea actualizărilor pentru a trata vulnerabilitatea Netlogon CVE-2022-38023 .
Calendarul actualizărilor pentru adresa CVE-2022-38023
Actualizări vor fi lansate în mai multe faze: etapa inițială pentru actualizări lansate la sau după 8 noiembrie 2022 și etapa de impunere pentru actualizările lansate la sau după 11 iulie 2023.
Faza inițială de implementare începe cu actualizările lansate pe 8 noiembrie 2022 și continuă cu actualizările Windows ulterioare până la faza de impunere. Actualizările Windows la sau după 8 noiembrie 2022 rezolvă vulnerabilitatea de ocolire a securității CVE-2022-38023 prin impunerea sigilării RPC pentru toți clienții Windows.
În mod implicit, dispozitivele vor fi setate în modul Compatibilitate. Controlerele de domeniu Windows vor necesita ca clienții Netlogon să utilizeze sigilia RPC dacă rulează Windows sau dacă acționează ca controlere de domeniu sau drept conturi de încredere.
Actualizările Windows lansate la sau după 11 aprilie 2023 vor elimina capacitatea de a dezactiva închiderea RPC prin setarea valorii 0 la subcheia registry RequireSeal .
Subcheia registry RequireSeal va fi mutată în modul Impus, cu excepția cazului în care administratorii configurează explicit să fie sub Mod compatibilitate. Conexiunilor vulnerabile de la toți clienții, inclusiv de la terți, li se va refuza autentificarea. Consultați Modificarea 1.
Actualizările Windows lansate pe 11 iulie 2023 vor elimina capacitatea de a seta valoarea 1 la subcheia registry RequireSeal . Acest lucru permite etapa de impunere a CVE-2022-38023.
Setări cheie de registry
După ce sunt instalate actualizările Windows care sunt datate pe sau după 8 noiembrie 2022, următoarea subcheie de registry este disponibilă pentru protocolul Netlogon pe controlerele de domeniu Windows.
IMPORTANT Această actualizare, precum și modificările viitoare de impunere nu adaugă sau elimină automat subcheia de registry "RequireSeal". Această subcheie de registry trebuie adăugată manual pentru a fi citită. Consultați Modificarea 3.
RequireSeal subcheie
|
Cheie de registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Valoare |
RequireSeal |
|
Tip de date |
REG_DWORD |
|
Date |
0 – Dezactivat 1 – Mod compatibilitate. Controlerele de domeniu Windows vor necesita ca clienții Netlogon să utilizeze RPC Seal dacă rulează Windows sau dacă acționează ca controlere de domeniu sau conturi de încredere. 2 - Mod impunere. Toți clienții sunt obligați să utilizeze RPC Seal. Consultați Modificarea 2. |
|
Repornire necesară? |
Nu |
Evenimente Windows legate de CVE-2022-38023
NOTĂ Următoarele evenimente au un tampon de 1 oră, în care evenimentele dublate care conțin aceleași informații sunt eliminate în timpul tamponului respectiv.
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Eroare |
|
Sursă eveniment |
NETLOGON |
|
ID eveniment |
5838 |
|
Text eveniment |
Serviciul Netlogon a întâlnit un client care utiliza semnare RPC în loc de sigilare RPC. |
Dacă găsiți acest mesaj de eroare în jurnalele de evenimente, trebuie să efectuați următoarele acțiuni pentru a rezolva eroarea de sistem:
-
Confirmați că dispozitivul rulează o versiune acceptată de Windows.
-
Asigurați-vă că toate dispozitivele sunt actualizate.
-
Asigurați-vă că membrul domeniului: Membrul domeniului criptează digital sau semnează date de canal securizat (întotdeauna) este setată la Activat .
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Eroare |
|
Sursă eveniment |
NETLOGON |
|
ID eveniment |
5839 |
|
Text eveniment |
Serviciul Netlogon a întâlnit o încredere utilizând semnarea RPC în locul sigilării RPC. |
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursă eveniment |
NETLOGON |
|
ID eveniment |
5840 |
|
Text eveniment |
Serviciul Netlogon a creat un canal securizat cu un client cu RC4. |
Dacă găsiți Evenimentul 5840, acesta este un semn că un client din domeniul dvs. utilizează criptografia slabă.
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Eroare |
|
Sursă eveniment |
NETLOGON |
|
ID eveniment |
5841 |
|
Text eveniment |
Serviciul Netlogon a refuzat un client care utiliza RC4 din cauza setării "RejectMd5Clients". |
Dacă găsiți Evenimentul 5841, acesta este un semn că valoarea RejectMD5Clients este setată la TRUE .
Cheia RejectMD5Clients este o cheie pre-existentă în serviciul Netlogon. Pentru mai multe informații, consultați descrierea RejectMD5Clients a modelului de date abstract.
Întrebări frecvente (Întrebări frecvente)
Toate conturile de domeniu asociate, de computer sunt afectate de acest CVE. Evenimentele vor arăta cine este cel mai afectat de această problemă după instalarea actualizărilor Windows din 8 noiembrie 2022 sau mai recente, consultați secțiunea Erori din jurnalul de evenimente pentru a rezolva problemele.
Pentru a ajuta la detectarea clienților mai vechi care nu utilizează cel mai puternic cripto disponibil, această actualizare introduce jurnalele de evenimente pentru clienții care utilizează RC4.
Semnarea RPC este atunci când protocolul Netlogon utilizează RPC pentru a semna mesajele pe care le trimite prin cablu. Sigilarea RPC este atunci când protocolul Netlogon semnează și criptează mesajele pe care le trimite prin cablu.
Controlerul de domeniu Windows determină dacă un client Netlogon rulează Windows interoghând atributul "OperatingSystem" în Active Directory pentru clientul Netlogon și verificând următoarele șiruri:
-
"Windows", "Hyper-V Server" și "Azure Stack HCI"
Nu recomandăm și nu acceptăm ca acest atribut să fie modificat de clienții Netlogon sau administratorii de domeniu la o valoare care nu este reprezentativă pentru sistemul de operare (OS) pe care îl rulează clientul Netlogon. Ar trebui să rețineți că putem modifica criteriile de căutare în orice moment. Consultați Modificarea 3.
Faza de impunere nu respinge clienții Netlogon pe baza tipului de criptare utilizat de clienți. Acesta va respinge clienții Netlogon doar dacă fac semnare RPC în loc de sigilare RPC. Respingerea clienților Netlogon RC4 se bazează pe cheia de registry "RejectMd5Clients" disponibilă pentru Windows Server 2008 R2 și controlerele de domeniu Windows mai recente. Faza de impunere pentru această actualizare nu modifică valoarea "RejectMd5Clients". Recomandăm clienților să activeze valoarea "RejectMd5Clients" pentru securitate mai mare în domeniile lor. Consultați Modificarea 3.
Glosar
Advanced Encryption Standard (AES) este un cifru bloc care înlocuiește Standardul de criptare a datelor (DES). AES poate fi utilizat pentru a proteja datele electronice. Algoritmul AES poate fi utilizat pentru a cripta (încipuia) și a decripta (descifra) informațiile. Criptarea face conversia datelor într-o formă neinteligibilă denumită text de cifru; decriptarea textului de cifru convertește datele înapoi în forma sa originală, numită text simplu. AES este utilizat în criptografia cu taste simetrice, ceea ce înseamnă că aceeași cheie este utilizată pentru operațiunile de criptare și decriptare. De asemenea, este un cifru bloc, ceea ce înseamnă că funcționează pe blocuri cu dimensiune fixă de text simplu și de cifru și necesită ca dimensiunea textului simplu, precum și a textului de cifru să fie un multiplu exact al acestei dimensiuni de bloc. AES mai este cunoscut și ca algoritmul de criptare simetrică Rijndael [FIPS197] .
Într-un mediu de securitate al rețelei compatibil cu sistemul de operare Windows NT, componenta responsabilă pentru funcțiile de sincronizare și întreținere între un controler de domeniu principal (PDC) și controlerele de domeniu de backup (BDC). Netlogon este un precursor al protocolului serverului de replicare a directorului (DRS). Interfața Netlogon Remote Protocol Remote Procedure Call (RPC) este utilizată în principal pentru a menține relația dintre un dispozitiv și domeniul său și relațiile dintre controlerele de domeniu (DCs) și domenii. Pentru mai multe informații, consultați Protocolul Netlogon Remote.
RC4-HMAC (RC4) este un algoritm de criptare simetric de lungime variabilă a cheii. Pentru mai multe informații, vezi secțiunea [SCHNEIER] 17.1.
O conexiune de apel de procedură la distanță autentificată (RPC) între două computere dintr-un domeniu cu un context de securitate stabilit, utilizat pentru semnarea și criptarea pachetelor RPC .
