Jurnal de modificări
|
Schimbarea 1: 19 iunie 2023:
|
În acest articol
Rezumat
Actualizările Windows lansate la sau după 8 noiembrie 2022 abordează ocolirea securității și sporirea vulnerabilității privilegiilor cu negocierea autentificării utilizând negocierea SLABĂ RC4-HMAC.
Această actualizare va seta AES ca tip de criptare implicit pentru cheile de sesiune pentru conturile care nu sunt marcate deja cu un tip de criptare implicit.
Pentru a contribui la securizarea mediului, instalați actualizările Windows lansate la sau după 8 noiembrie 2022 pe toate dispozitivele, inclusiv pe controlerele de domeniu. Consultați Modificarea 1.
Pentru a afla mai multe despre aceste vulnerabilități, consultați CVE-2022-37966.
Descoperirea în mod explicit a tipurilor de criptare a cheilor de sesiune
Este posibil să aveți tipuri de criptare definite în mod explicit în conturile de utilizator care sunt vulnerabile la CVE-2022-37966. Căutați conturi în care DES /RC4 este activat în mod explicit, dar nu AES utilizând următoarea interogare Active Directory:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Setări cheie de registry
După instalarea actualizărilor Windows care sunt datate la sau după 8 noiembrie 2022, următoarea cheie de registry este disponibilă pentru protocolul Kerberos:
DefaultDomainSupportedEncTypes
|
Cheie de registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Valoare |
DefaultDomainSupportedEncTypes |
|
Tip de date |
REG_DWORD |
|
Valoare date |
0x27 (implicit) |
|
Repornire necesară? |
Nu |
Notă Dacă trebuie să modificați tipul implicit de criptare acceptat pentru un utilizator sau computer Active Directory, adăugați manual și configurați cheia de registry pentru a seta noul Tip de criptare acceptat. Această actualizare nu adaugă automat cheia de registry.
Controlerele de domeniu Windows utilizează această valoare pentru a determina tipurile de criptare acceptate în conturile din Active Directory a căror valoare msds-SupportedEncryptionType este goală sau nu este setată. Un computer care rulează o versiune acceptată a sistemului de operare Windows setează automat msds-SupportedEncryptionTypes pentru acel cont de computere în Active Directory. Aceasta se bazează pe valoarea configurată a tipurilor de criptare pe care protocolul Kerberos are permisiunea să le utilizeze. Pentru mai multe informații, consultați Securitatea rețelei: Configurarea tipurilor de criptare permise pentru Kerberos.
Conturile de utilizatori, conturile de serviciu gestionat de grup și alte conturi din Active Directory nu au valoarea msds-SupportedEncryptionTypes setată automat.
Pentru a găsi tipurile de criptare acceptate pe care le puteți seta manual, consultați Semnalizatori biți cu tipuri de criptare acceptate. Pentru mai multe informații, vedeți ce ar trebui să faceți mai întâi pentru a contribui la pregătirea mediului și a preveni problemele de autentificare Kerberos.
Valoarea implicită 0x27 (DES, RC4, Chei de sesiune AES) a fost aleasă ca modificare minimă necesară pentru această actualizare de securitate. Le recomandăm clienților să seteze valoarea de 0x3C pentru o securitate sporită, deoarece această valoare va permite atât tichetele criptate AES, cât și cheile de sesiune AES. Dacă clienții au urmat instrucțiunile noastre pentru a trece la un mediu numai pentru AES, unde RC4 nu este utilizat pentru protocolul Kerberos, le recomandăm clienților să seteze valoarea la 0x38. Consultați Modificarea 1.
Evenimente Windows legate de CVE-2022-37966
Centrul de distribuire cheie Kerberos nu are chei puternice pentru cont
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Eroare |
|
Sursă eveniment |
Kdcsvc |
|
ID eveniment |
42 |
|
Text eveniment |
Centrul de distribuire cheie Kerberos nu are chei puternice pentru cont: nume cont. Trebuie să actualizați parola acestui cont pentru a preveni utilizarea criptografiei nesigure. Consultați https://go.microsoft.com/fwlink/?linkid=2210019 pentru a afla mai multe. |
Dacă găsiți această eroare, probabil că trebuie să resetați parola krbtgt înainte de a seta KrbtgtFullPacSingature = 3 sau de a instala Windows Actualizări lansat la sau după 11 iulie 2023. Actualizarea care permite prin programare modul de impunere pentru CVE-2022-37967 este documentată în următorul articol din Baza de cunoștințe Microsoft:
KB5020805: Cum se gestionează modificările de protocol Kerberos legate de CVE-2022-37967
Pentru mai multe informații despre cum să faceți acest lucru, consultațiNew-KrbtgtKeys.ps1subiect de pe site-ul web GitHub.
Întrebări frecvente (Întrebări frecvente) și Probleme cunoscute
Conturile semnalizate pentru utilizarea explicită RC4 sunt vulnerabile. În plus, mediile care nu au chei de sesiune AES în contul krbgt pot fi vulnerabile. Pentru a atenua această problemă, urmați instrucțiunile despre cum să identificați vulnerabilitățile și să utilizați secțiunea De setare a cheii de registry pentru a actualiza valorile implicite de criptare setate explicit.
Va trebui să verificați dacă toate dispozitivele dvs. au un tip de criptare Kerberos comun. Pentru mai multe informații despre tipurile de criptare Kerberos, consultați Decriptarea selecției tipurilor de criptare Kerberos acceptate.
Mediile fără un tip de criptare Kerberos comun pot fi funcționale anterior din cauza adăugării automate RC4 sau a adăugării de AES, dacă RC4 a fost dezactivat prin politica de grup de către controlerele de domeniu. Acest comportament s-a modificat odată cu actualizările lansate la sau după 8 noiembrie 2022 și acum va urma cu strictețe ceea ce este setat în cheile de registry, msds-SupportedEncryptionTypes și DefaultDomainSupportedEncTypes.
În cazul în care contul nu are setat msds-SupportedEncryptionTypes sau este setat la 0, controlerele de domeniu presupun o valoare implicită de 0x27 (39) sau controlerul de domeniu va utiliza setarea din cheia de registry DefaultDomainSupportedEncTypes.
În cazul în care contul are setat msds-SupportedEncryptionTypes , această setare este onorată și poate expune o eroare la configurarea unui tip de criptare Kerberos comun mascat de comportamentul anterior de adăugare automată RC4 sau AES, care nu mai este comportamentul după instalarea actualizărilor lansate pe sau după 8 noiembrie 2022.
Pentru informații despre cum să verificați dacă aveți un tip de criptare Kerberos comun, consultați întrebarea Cum pot verifica dacă toate dispozitivele mele au un tip de criptare Kerberos comun?
Consultați întrebarea anterioară pentru mai multe informații despre motivele pentru care este posibil ca dispozitivele dvs. să nu aibă un tip de criptare Kerberos comun după instalarea actualizărilor lansate la sau după 8 noiembrie 2022.
Dacă ați instalat deja actualizări lansate pe sau după 8 noiembrie 2022, puteți detecta dispozitivele care nu au un tip de criptare Kerberos comun, căutând în Jurnalul de evenimente pentru evenimentul 27 Microsoft-Windows-Kerberos-Key-Distribution-Center, care identifică tipurile de criptare disociere între clienții Kerberos și serverele sau serviciile la distanță.
Instalarea actualizărilor lansate la sau după 8 noiembrie 2022 pe clienți sau pe serverele cu rol de controler non-domeniu nu ar trebui să afecteze autentificarea Kerberos în mediul dvs.
Pentru a atenua această problemă cunoscută, deschideți o fereastră linie de comandă ca administrator și utilizați temporar următoarea comandă pentru a seta cheia de registry KrbtgtFullPacSignature la 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Notă După ce această problemă cunoscută este rezolvată, ar trebui să setați KrbtgtFullPacSignature la o setare mai mare, în funcție de ceea ce va permite mediul dvs. Vă recomandăm ca modul Impunere să fie activat imediat ce mediul este gata.
Pașii următoriLucrăm la o rezolvare și vom furniza o actualizare într-o ediție viitoare.
După instalarea actualizărilor lansate la sau după 8 noiembrie 2022 pe controlerele de domeniu, toate dispozitivele trebuie să accepte semnarea tichetelor AES în conformitate cu cerințele pentru a fi conforme cu consolidarea securității necesare pentru CVE-2022-37967.
Pașii următori Dacă rulați deja cel mai recent software și firmware pentru dispozitivele non-Windows și ați verificat că există un tip de criptare comun disponibil între controlerele de domeniu Windows și dispozitivele non-Windows, va trebui să contactați producătorul dispozitivului (OEM) pentru ajutor sau să înlocuiți dispozitivele cu cele compatibile.
IMPORTANT Nu recomandăm utilizarea unei soluții pentru a permite dispozitivelor neconforme să se autentifice, deoarece acest lucru vă poate face mediul vulnerabil.
Versiunile neacceptate de Windows includ Windows XP, Windows Server 2003, Windows Server 2008 SP2 și Windows Server 2008 R2 SP1 nu pot fi accesate de dispozitivele Windows actualizate decât dacă aveți o licență ESU. Dacă aveți o licență ESU, va trebui să instalați actualizări lansate la sau după 8 noiembrie 2022 și să verificați dacă aveți un tip de criptare comun disponibil între toate dispozitivele.
Pașii următori Instalați actualizări, dacă acestea sunt disponibile pentru versiunea dvs. de Windows și aveți licența ESU aplicabilă. Dacă nu sunt disponibile actualizări, va trebui să faceți upgrade la o versiune acceptată de Windows sau să mutați orice aplicație sau serviciu pe un dispozitiv compatibil.
IMPORTANT Nu recomandăm utilizarea unei soluții pentru a permite dispozitivelor neconforme să se autentifice, deoarece acest lucru vă poate face mediul vulnerabil.
Această problemă cunoscută a fost rezolvată în actualizările din afara benzii lansate la 17 noiembrie 2022 și la 18 noiembrie 2022 pentru instalarea pe toate controlerele de domeniu din mediul dvs. Nu trebuie să instalați nicio actualizare sau să efectuați modificări la alte servere sau dispozitive client în mediul dvs. pentru a rezolva această problemă. Dacă ați utilizat o soluție sau atenuări pentru această problemă, acestea nu mai sunt necesare și vă recomandăm să le eliminați.
Pentru a obține pachetul independent pentru aceste actualizări în afara benzii, căutați numărul KB în Catalogul Microsoft Update. Puteți importa manual aceste actualizări în Windows Server Update Services (WSUS) și Microsoft Endpoint Configuration Manager. Pentru instrucțiuni WSUS, consultați WSUS și site-ul catalog. Pentru instrucțiuni pentru Configuration Manger, consultați Importul actualizărilor din Catalogul Microsoft Update.
Notă Următoarele actualizări nu sunt disponibile de la Windows Update și nu se vor instala automat.
Actualizări cumulative:
Notă Nu trebuie să aplicați nicio actualizare anterioară înainte de a instala aceste actualizări cumulative. Dacă ați instalat deja actualizări lansate la 8 noiembrie 2022, nu trebuie să dezinstalați actualizările afectate înainte de a instala actualizările ulterioare, inclusiv actualizările listate mai sus.
Actualizări independentă:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (lansat la 18 noiembrie 2022)
-
Windows Server 2008 SP2: KB5021657
Note
-
Dacă utilizați actualizări doar de securitate pentru aceste versiuni de Windows Server, trebuie doar să instalați aceste actualizări independente pentru luna noiembrie 2022. Actualizările numai pentru securitate nu sunt cumulative și, de asemenea, va trebui să instalați toate actualizările anterioare numai pentru securitate pentru a fi complet actualizate. Actualizările setului lunar sunt cumulative și includ actualizări de securitate și toate actualizările de calitate.
-
Dacă utilizați actualizările setului lunar, va trebui să instalați atât actualizările independente listate mai sus pentru a rezolva această problemă, cât și să instalați seturile lunare lansate la 8 noiembrie 2022 pentru a primi actualizările de calitate pentru noiembrie 2022. Dacă ați instalat deja actualizări lansate la 8 noiembrie 2022, nu trebuie să dezinstalați actualizările afectate înainte de a instala actualizările ulterioare, inclusiv actualizările listate mai sus.
Dacă ați verificat configurația mediului și încă întâmpinați probleme cu orice implementare Non-Microsoft a Kerberos, veți avea nevoie de actualizări sau de asistență de la dezvoltator sau de la producătorul aplicației sau dispozitivului.
Această problemă cunoscută poate fi atenuată efectuând una dintre următoarele:
-
Setați msds-SupportedEncryptionTypes la nivel de biți sau setați-l la 0x27 implicit curent pentru a-i păstra valoarea curentă. De exemplu:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Setați msds-SupportEncryptionTypes la 0 pentru a permite controlerelor de domeniu să utilizeze valoarea implicită a 0x27.
Pașii următoriLucrăm la o rezolvare și vom furniza o actualizare într-o ediție viitoare.
Glosar
Advanced Encryption Standard (AES) este un cifru bloc care înlocuiește Standardul de criptare a datelor (DES). AES poate fi utilizat pentru a proteja datele electronice. Algoritmul AES poate fi utilizat pentru a cripta (încipuia) și a decripta (descifra) informațiile. Criptarea face conversia datelor într-o formă neinteligibilă denumită text de cifru; decriptarea textului de cifru convertește datele înapoi în forma sa originală, numită text simplu. AES este utilizat în criptografia cu taste simetrice, ceea ce înseamnă că aceeași cheie este utilizată pentru operațiunile de criptare și decriptare. De asemenea, este un cifru bloc, ceea ce înseamnă că funcționează pe blocuri cu dimensiune fixă de text simplu și de cifru și necesită ca dimensiunea textului simplu, precum și a textului de cifru să fie un multiplu exact al acestei dimensiuni de bloc. AES mai este cunoscut și ca algoritmul de criptare simetrică Rijndael [FIPS197].
Kerberos este un protocol de autentificare de rețea de computer care funcționează pe baza "tichetelor" pentru a permite nodurilor care comunică printr-o rețea să își demonstreze identitatea unul altuia într-un mod sigur.
Serviciul Kerberos care implementează serviciile de autentificare și de acordare a tichetelor specificate în protocolul Kerberos. Serviciul rulează pe computere selectate de administratorul domeniului sau domeniului; nu este prezent pe fiecare computer din rețea. Trebuie să aibă acces la o bază de date de cont pentru domeniul pe care îl servește. KDC-urile sunt integrate în rolul de controler de domeniu. Este un serviciu de rețea care furnizează tichete clienților pentru autentificarea la servicii.
RC4-HMAC (RC4) este un algoritm de criptare simetric de lungime variabilă a cheii. Pentru mai multe informații, vezi secțiunea [SCHNEIER] 17.1.
O cheie simetrică relativ de scurtă durată (o cheie criptografică negociată de client și server pe baza unui secret partajat). Durata de viață a cheilor de sesiune este limitată la sesiunea la care este asociată. O cheie de sesiune trebuie să fie suficient de puternică pentru a rezista criptanalizei pentru durata de viață a sesiunii.
Un tip special de tichet care poate fi folosit pentru a obține alte tichete. Tichetul de acordare a tichetului (TGT) este obținut după autentificarea inițială în schimbul serviciului de autentificare (AS); după aceea, utilizatorii nu trebuie să își prezinte acreditările, dar pot utiliza TGT pentru a obține tichete ulterioare.
