Modificare dată |
Descriere |
1 octombrie 2024 |
A modificat etapa Impusă în mod implicit din octombrie 2024 până în ianuarie 2025. |
Rezumat
Actualizările de securitate Windows lansate la sau după 9 aprilie 2024 abordează sporirea vulnerabilităților de privilegii cu Protocolul de validare PAC Kerberos. Certificatul privilege attribute (PAC) este o extensie a tichetelor de serviciu Kerberos. Acesta conține informații despre utilizatorul care se autentifică și privilegiile sale. Această actualizare remediază o vulnerabilitate în care utilizatorul procesului poate falsifica semnătura pentru a ocoli verificările de securitate pentru validarea semnăturilor PAC adăugate în KB5020805: Cum se gestionează modificările de protocol Kerberos legate de CVE-2022-37967.
În plus, această actualizare tratează o vulnerabilitate în anumite scenarii inter-păduri. Pentru a afla mai multe despre aceste vulnerabilități, vizitați CVE-2024-26248 și CVE-2024-29056.
Acționați
IMPORTANTPasul 1 pentru a instala actualizarea lansată la sau după 9 aprilie 2024 NU va remedia complet problemele de securitate din CVE-2024-26248 și CVE-2024-29056 în mod implicit. Pentru a atenua complet problema de securitate pentru toate dispozitivele, trebuie să treceți la Modul impus (descris în Pasul 3) după actualizarea completă a mediului.
Pentru a contribui la protejarea mediului și a preveni întreruperile, vă recomandăm următorii pași:
-
ACTUALIZA: Controlerele de domeniu Windows și clienții Windows trebuie să fie actualizate cu o actualizare de securitate Windows lansată la sau după 9 aprilie 2024.
-
MONITOR: Evenimentele de audit vor fi vizibile în Modul compatibilitate pentru a identifica dispozitivele care nu sunt actualizate.
-
ACTIVA: După ce modul Impunere este activat complet în mediul dvs., vulnerabilitățile descrise în CVE-2024-26248 și CVE-2024-29056 vor fi atenuate.
Fundal
Atunci când o stație de lucru Windows efectuează validarea PAC pe un flux de autentificare Kerberos de intrare, efectuează o nouă solicitare (Conectare tichet de rețea) pentru a valida tichetul de serviciu. Solicitarea este redirecționată inițial către un controler de domeniu (DC) al domeniului Stații de lucru prin Netlogon.
În cazul în care contul de serviciu și contul de computer aparțin unor domenii diferite, solicitarea este transmisă prin Netlogon prin intermediul Netlogon, până când ajunge la domeniul serviciilor; în caz contrar, DC din domeniul de conturi computere efectuează validarea. Apoi, DC apelează Centrul de distribuire cheie (KDC) pentru a valida semnăturile PAC ale tichetului de serviciu și trimite informațiile despre utilizator și dispozitiv înapoi la stația de lucru.
Dacă solicitarea și răspunsul sunt redirecționate printr-o acreditare (în cazul în care contul de serviciu și contul stației de lucru aparțin unor domenii diferite), fiecare DC din filtrele de încredere asigură date de autorizare referitoare la acesta.
Cronologia modificărilor
Actualizări sunt lansate după cum urmează. Rețineți că acest program de lansare poate fi revizuit după cum este necesar.
Faza inițială de implementare începe cu actualizările lansate pe 9 aprilie 2024. Această actualizare adaugă un comportament nou care împiedică sporirea vulnerabilităților de privilegii descrise în CVE-2024-26248 și CVE-2024-29056 , dar nu o impune decât dacă sunt actualizate atât controlerele de domeniu Windows, cât și clienții Windows din mediu.
Pentru a activa comportamentul nou și a atenua vulnerabilitățile, trebuie să vă asigurați că întregul mediu Windows (inclusiv controlerele de domeniu și clienții) este actualizat. Evenimentele de auditare vor fi înregistrate în jurnal pentru a ajuta la identificarea dispozitivelor care nu sunt actualizate.
Actualizări lansate în sau după ianuarie 2025 vor muta toate controlerele de domeniu și toți clienții Windows din mediu în modul Impus. Acest mod va impune în mod implicit un comportament securizat. Această modificare de comportament va avea loc după ce actualizarea modifică setările subcheii de registry la PacSignatureValidationLevel=3 și CrossDomainFilteringLevel=4.
Setările mod impus implicit pot fi înlocuite de un administrator pentru a reveni la modul compatibilitate .
Actualizările de securitate Windows lansate în sau după aprilie 2025 vor elimina suportul pentru subcheile de registry PacSignatureValidationLevel și CrossDomainFilteringLevel și vor impune noul comportament securizat. Nu va mai exista suport pentru modul de compatibilitate după instalarea actualizării din aprilie 2025.
Probleme potențiale și atenuări
Pot apărea probleme potențiale, inclusiv validarea PAC și erorile de filtrare inter-păduri. Actualizarea de securitate din 9 aprilie 2024 include logica de rezervă și setările de registry, pentru a ajuta la atenuarea acestor probleme
Setări registry
Această actualizare de securitate este oferită dispozitivelor Windows (inclusiv controlerelor de domeniu). Următoarele chei de registry care controlează comportamentul trebuie implementate doar pe serverul Kerberos care acceptă autentificarea Kerberos de intrare și efectuează validarea PAC.
Subcheie de registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
Valoare |
PacSignatureValidationLevel |
|
Tip de date |
REG_DWORD |
|
Date |
2 |
Implicit (Compatibilitate cu mediul neaspatit) |
3 |
Impune |
|
Repornire necesară? |
Nu |
Subcheie de registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
Valoare |
CrossDomainFilteringLevel |
|
Tip de date |
REG_DWORD |
|
Date |
2 |
Implicit (Compatibilitate cu mediul neaspatit) |
4 |
Impune |
|
Repornire necesară? |
Nu |
Această cheie de registry poate fi implementată atât pe serverele Windows care acceptă autentificare Kerberos de intrare, cât și pe orice controler de domeniu Windows care validează noul logon de tichet de rețea care se deplasează pe parcurs.
Subcheie de registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Valoare |
AuditKerberosTicketLogonEvents |
|
Tip de date |
REG_DWORD |
|
Date |
1 |
Implicit - înregistrează evenimente critice |
2 |
Înregistrați toate evenimentele Netlogon |
|
0 |
Nu se înregistrează în jurnal evenimente Netlogon |
|
Repornire necesară? |
Nu |
Jurnalele
Se vor genera următoarele evenimente de auditAre Kerberos pe serverul Kerberos care acceptă autentificarea Kerberos de intrare. Acest server Kerberos va efectua validarea PAC, care utilizează noul Flux de conectare tichet de rețea.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Informaţionale |
Sursa de eveniment |
Security-Kerberos |
ID eveniment |
21 |
Text eveniment |
În timpul conectării la tichetul de rețea Kerberos, tichetul de serviciu pentru contul <> de cont din domeniu <domeniu> avut următoarele acțiuni efectuate de> controler de domeniu DC <. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2262558. > de acțiune < |
Acest eveniment este afișat atunci când un controler de domeniu a efectuat o acțiune non-fatală în timpul unui flux de conectare la tichetul de rețea. În prezent, sunt înregistrate în jurnal următoarele acțiuni:
-
S-au filtrat SID-urile utilizatorilor.
-
S-au filtrat SID-urile dispozitivului.
-
Identitatea compusă a fost eliminată din cauza filtrării SID care nu permite identitatea dispozitivului.
-
Identitatea compusă a fost eliminată din cauza filtrării SID care nu permitea numele de domeniu al dispozitivului.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Eroare |
Sursa de eveniment |
Security-Kerberos |
ID eveniment |
22 |
Text eveniment |
În timpul conectării la tichetul de rețea Kerberos, tichetul de serviciu pentru contul <> din domain <domain> a fost refuzat de> DC <DC din motivele de mai jos. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2262558. Motiv:> motiv < ErrorCode: <cod de eroare> |
Acest eveniment se afișează atunci când un controler de domeniu a refuzat solicitarea de conectare la tichetul de rețea din motivele afișate în eveniment.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Avertisment sau eroare |
Sursa de eveniment |
Security-Kerberos |
ID eveniment |
23 |
Text eveniment |
În timpul conectării tichetului de rețea Kerberos, tichetul de serviciu pentru contul <account_name> din <domain_name> domeniului nu a putut fi redirecționat către un controler de domeniu pentru a efectua serviciul solicitării. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Acest eveniment este afișat ca avertisment dacă PacSignatureValidationLevel AND CrossDomainFilteringLevel nu sunt setate la Impunere sau mai stricte. Atunci când este înregistrat ca avertisment, evenimentul indică faptul că fluxurile de conectare la tichetul de rețea au contactat un controler de domeniu sau un dispozitiv echivalent care nu a înțeles noul mecanism. Autentificării i s-a permis să revină la comportamentul anterior.
-
Acest eveniment se afișează ca eroare dacă PacSignatureValidationLevel OR CrossDomainFilteringLevel este setat la Impunere sau mai strict. Acest eveniment ca "eroare" indică faptul că fluxul de conectare la tichetul de rețea a contactat un controler de domeniu sau un dispozitiv echivalent care nu a înțeles noul mecanism. Autentificarea a fost refuzată și nu a putut reveni la comportamentul anterior.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Eroare |
Sursa de eveniment |
Netlogon |
ID eveniment |
5842 |
Text eveniment |
Serviciul Netlogon a întâlnit o eroare neașteptată la procesarea unei solicitări de conectare la tichetul de rețea Kerberos. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2261497. Cont tichet serviciu: cont <> Domeniu tichet serviciu:> de domeniu < Nume stație de lucru: <nume computer> Stare:> codului de eroare < |
Acest eveniment este generat ori de câte ori Netlogon a întâmpinat o eroare neașteptată în timpul unei solicitări de conectare a tichetului de rețea. Acest eveniment este înregistrat atunci când AuditKerberosTicketLogonEvents este setat la (1) sau mai recent.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Avertisment |
Sursa de eveniment |
Netlogon |
ID eveniment |
5843 |
Text eveniment |
Serviciul Netlogon nu a reușit să redirecționeze o solicitare de conectare a tichetului de rețea Kerberos către controlerul de domeniu <DC>. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2261497. Cont tichet serviciu: cont <> Domeniu tichet serviciu:> de domeniu < Nume stație de lucru: <nume computer> |
Acest eveniment este generat ori de câte ori Netlogon nu a putut finaliza conectarea tichetului de rețea, deoarece un controler de domeniu nu a înțeles modificările. Din cauza limitărilor din protocolul Netlogon, clientul Netlogon nu poate determina dacă Controlerul de domeniu cu care vorbește direct clientul Netlogon este cel care nu înțelege modificările sau dacă este un controler de domeniu de-a lungul lanțului de redirecționare care nu înțelege modificările.
-
Dacă domeniul tichetului de serviciu este același cu domeniul contului de computer, probabil că controlerul de domeniu din jurnalul de evenimente nu înțelege fluxul de conectare a tichetului de rețea.
-
Dacă Domeniul tichetului de serviciu este diferit de domeniul contului computerului, unul dintre controlerul de domeniu de-a lungul drumului de la Domeniul contului de dispozitiv la domeniul contului de serviciu nu a înțeles fluxul de conectare a tichetului de rețea
Acest eveniment este dezactivat în mod implicit. Microsoft recomandă utilizatorilor să își actualizeze mai întâi întreaga flotă înainte de a activa evenimentul.
Acest eveniment este înregistrat atunci când AuditKerberosTicketLogonEvents este setat la (2).
Întrebări frecvente (Întrebări frecvente)
Un controler de domeniu care nu este actualizat nu va recunoaște această structură de solicitare nouă. Acest lucru va face ca verificarea de securitate să nu reușească. În modul de compatibilitate, se va utiliza vechea structură de solicitări. Acest scenariu este încă vulnerabil la CVE-2024-26248 și CVE-2024-29056.
Da. Acest lucru se întâmplă deoarece noul flux de conectare la tichetul de rețea poate fi necesar să fie distribuit între domenii pentru a ajunge la domeniul contului de serviciu.
Validarea PAC poate fi ignorată în anumite circumstanțe, inclusiv, dar fără a se limita la, următoarele scenarii:
-
Dacă serviciul are privilegiul TCB. În general, serviciile care rulează în contextul contului SYSTEM (cum ar fi partajările de fișiere SMB sau serverele LDAP) au acest privilegiu.
-
Dacă serviciul este rulat din Programatorul de activități.
În caz contrar, validarea PAC se efectuează pentru toate fluxurile de autentificare Kerberos de intrare.
Aceste CV-uri implică o sporire locală a privilegiilor, unde un cont de serviciu rău intenționat sau compromis care rulează pe stația de lucru Windows încearcă să-și ridice privilegiul pentru a obține drepturi de administrare locală. Acest lucru înseamnă că este afectată doar stația de lucru Windows care acceptă autentificarea Kerberos de intrare.