Modificare dată

Descriere

1 octombrie 2024

A modificat etapa Impusă în mod implicit din octombrie 2024 până în ianuarie 2025.

Rezumat

Actualizările de securitate Windows lansate la sau după 9 aprilie 2024 abordează sporirea vulnerabilităților de privilegii cu Protocolul de validare PAC Kerberos. Certificatul privilege attribute (PAC) este o extensie a tichetelor de serviciu Kerberos. Acesta conține informații despre utilizatorul care se autentifică și privilegiile sale. Această actualizare remediază o vulnerabilitate în care utilizatorul procesului poate falsifica semnătura pentru a ocoli verificările de securitate pentru validarea semnăturilor PAC adăugate în KB5020805: Cum se gestionează modificările de protocol Kerberos legate de CVE-2022-37967.

În plus, această actualizare tratează o vulnerabilitate în anumite scenarii inter-păduri. Pentru a afla mai multe despre aceste vulnerabilități, vizitați CVE-2024-26248 și CVE-2024-29056.

Acționați

IMPORTANTPasul 1 pentru a instala actualizarea lansată la sau după 9 aprilie 2024 NU va remedia complet problemele de securitate din CVE-2024-26248 și CVE-2024-29056 în mod implicit. Pentru a atenua complet problema de securitate pentru toate dispozitivele, trebuie să treceți la Modul impus (descris în Pasul 3) după actualizarea completă a mediului.

Pentru a contribui la protejarea mediului și a preveni întreruperile, vă recomandăm următorii pași:

  1. ACTUALIZA: Controlerele de domeniu Windows și clienții Windows trebuie să fie actualizate cu o actualizare de securitate Windows lansată la sau după 9 aprilie 2024.

  2. MONITOR: Evenimentele de audit vor fi vizibile în Modul compatibilitate pentru a identifica dispozitivele care nu sunt actualizate.

  3. ACTIVA: După ce modul Impunere este activat complet în mediul dvs., vulnerabilitățile descrise în CVE-2024-26248 și CVE-2024-29056 vor fi atenuate.

Fundal

Atunci când o stație de lucru Windows efectuează validarea PAC pe un flux de autentificare Kerberos de intrare, efectuează o nouă solicitare (Conectare tichet de rețea) pentru a valida tichetul de serviciu. Solicitarea este redirecționată inițial către un controler de domeniu (DC) al domeniului Stații de lucru prin Netlogon.

În cazul în care contul de serviciu și contul de computer aparțin unor domenii diferite, solicitarea este transmisă prin Netlogon prin intermediul Netlogon, până când ajunge la domeniul serviciilor; în caz contrar, DC din domeniul de conturi computere efectuează validarea. Apoi, DC apelează Centrul de distribuire cheie (KDC) pentru a valida semnăturile PAC ale tichetului de serviciu și trimite informațiile despre utilizator și dispozitiv înapoi la stația de lucru.

Dacă solicitarea și răspunsul sunt redirecționate printr-o acreditare (în cazul în care contul de serviciu și contul stației de lucru aparțin unor domenii diferite), fiecare DC din filtrele de încredere asigură date de autorizare referitoare la acesta.

Cronologia modificărilor

Actualizări sunt lansate după cum urmează. Rețineți că acest program de lansare poate fi revizuit după cum este necesar.

Faza inițială de implementare începe cu actualizările lansate pe 9 aprilie 2024. Această actualizare adaugă un comportament nou care împiedică sporirea vulnerabilităților de privilegii descrise în CVE-2024-26248 și CVE-2024-29056 , dar nu o impune decât dacă sunt actualizate atât controlerele de domeniu Windows, cât și clienții Windows din mediu.

Pentru a activa comportamentul nou și a atenua vulnerabilitățile, trebuie să vă asigurați că întregul mediu Windows (inclusiv controlerele de domeniu și clienții) este actualizat. Evenimentele de auditare vor fi înregistrate în jurnal pentru a ajuta la identificarea dispozitivelor care nu sunt actualizate.

Actualizări lansate în sau după ianuarie 2025 vor muta toate controlerele de domeniu și toți clienții Windows din mediu în modul Impus. Acest mod va impune în mod implicit un comportament securizat. Această modificare de comportament va avea loc după ce actualizarea modifică setările subcheii de registry la PacSignatureValidationLevel=3 și CrossDomainFilteringLevel=4.

Setările mod impus implicit pot fi înlocuite de un administrator pentru a reveni la modul compatibilitate .

Actualizările de securitate Windows lansate în sau după aprilie 2025 vor elimina suportul pentru subcheile de registry PacSignatureValidationLevel și CrossDomainFilteringLevel și vor impune noul comportament securizat. Nu va mai exista suport pentru modul de compatibilitate după instalarea actualizării din aprilie 2025.

Probleme potențiale și atenuări

Pot apărea probleme potențiale, inclusiv validarea PAC și erorile de filtrare inter-păduri. Actualizarea de securitate din 9 aprilie 2024 include logica de rezervă și setările de registry, pentru a ajuta la atenuarea acestor probleme

Setări registry

Această actualizare de securitate este oferită dispozitivelor Windows (inclusiv controlerelor de domeniu). Următoarele chei de registry care controlează comportamentul trebuie implementate doar pe serverul Kerberos care acceptă autentificarea Kerberos de intrare și efectuează validarea PAC.

Subcheie de registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Valoare

PacSignatureValidationLevel

Tip de date

REG_DWORD

Date

2

Implicit (Compatibilitate cu mediul neaspatit)

3

Impune

Repornire necesară?

Nu

Subcheie de registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Valoare

CrossDomainFilteringLevel

Tip de date

REG_DWORD

Date

2

Implicit (Compatibilitate cu mediul neaspatit)

4

Impune

Repornire necesară?

Nu

Această cheie de registry poate fi implementată atât pe serverele Windows care acceptă autentificare Kerberos de intrare, cât și pe orice controler de domeniu Windows care validează noul logon de tichet de rețea care se deplasează pe parcurs.

Subcheie de registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valoare

AuditKerberosTicketLogonEvents

Tip de date

REG_DWORD

Date

1

Implicit - înregistrează evenimente critice

2

Înregistrați toate evenimentele Netlogon

0

Nu se înregistrează în jurnal evenimente Netlogon

Repornire necesară?

Nu

Jurnalele

Se vor genera următoarele evenimente de auditAre Kerberos pe serverul Kerberos care acceptă autentificarea Kerberos de intrare. Acest server Kerberos va efectua validarea PAC, care utilizează noul Flux de conectare tichet de rețea.

Jurnal de evenimente

Sistem

Tip eveniment

Informaţionale

Sursa de eveniment

Security-Kerberos

ID eveniment

21

Text eveniment

În timpul conectării la tichetul de rețea Kerberos, tichetul de serviciu pentru contul <> de cont din domeniu <domeniu> avut următoarele acțiuni efectuate de> controler de domeniu DC <. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2262558.> de acțiune <

Acest eveniment este afișat atunci când un controler de domeniu a efectuat o acțiune non-fatală în timpul unui flux de conectare la tichetul de rețea. În prezent, sunt înregistrate în jurnal următoarele acțiuni:

  • S-au filtrat SID-urile utilizatorilor.

  • S-au filtrat SID-urile dispozitivului.

  • Identitatea compusă a fost eliminată din cauza filtrării SID care nu permite identitatea dispozitivului.

  • Identitatea compusă a fost eliminată din cauza filtrării SID care nu permitea numele de domeniu al dispozitivului.

Jurnal de evenimente

Sistem

Tip eveniment

Eroare

Sursa de eveniment

Security-Kerberos

ID eveniment

22

Text eveniment

În timpul conectării la tichetul de rețea Kerberos, tichetul de serviciu pentru contul <> din domain <domain> a fost refuzat de> DC <DC din motivele de mai jos. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2262558.Motiv:> motiv < ErrorCode: <cod de eroare>

Acest eveniment se afișează atunci când un controler de domeniu a refuzat solicitarea de conectare la tichetul de rețea din motivele afișate în eveniment. ​​​​​​

Jurnal de evenimente

Sistem

Tip eveniment

Avertisment sau eroare

Sursa de eveniment

Security-Kerberos

ID eveniment

23

Text eveniment

În timpul conectării tichetului de rețea Kerberos, tichetul de serviciu pentru contul <account_name> din <domain_name> domeniului nu a putut fi redirecționat către un controler de domeniu pentru a efectua serviciul solicitării. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2262558.

  • Acest eveniment este afișat ca avertisment dacă PacSignatureValidationLevel AND CrossDomainFilteringLevel nu sunt setate la Impunere sau mai stricte. Atunci când este înregistrat ca avertisment, evenimentul indică faptul că fluxurile de conectare la tichetul de rețea au contactat un controler de domeniu sau un dispozitiv echivalent care nu a înțeles noul mecanism. Autentificării i s-a permis să revină la comportamentul anterior.

  • Acest eveniment se afișează ca eroare dacă PacSignatureValidationLevel OR CrossDomainFilteringLevel este setat la Impunere sau mai strict. Acest eveniment ca "eroare" indică faptul că fluxul de conectare la tichetul de rețea a contactat un controler de domeniu sau un dispozitiv echivalent care nu a înțeles noul mecanism. Autentificarea a fost refuzată și nu a putut reveni la comportamentul anterior.

Jurnal de evenimente

Sistem

Tip eveniment

Eroare

Sursa de eveniment

Netlogon

ID eveniment

5842

Text eveniment

Serviciul Netlogon a întâlnit o eroare neașteptată la procesarea unei solicitări de conectare la tichetul de rețea Kerberos. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2261497.

Cont tichet serviciu: cont <>

Domeniu tichet serviciu:> de domeniu <

Nume stație de lucru: <nume computer>

Stare:> codului de eroare <

Acest eveniment este generat ori de câte ori Netlogon a întâmpinat o eroare neașteptată în timpul unei solicitări de conectare a tichetului de rețea. Acest eveniment este înregistrat atunci când AuditKerberosTicketLogonEvents este setat la (1) sau mai recent.

Jurnal de evenimente

Sistem

Tip eveniment

Avertisment

Sursa de eveniment

Netlogon

ID eveniment

5843

Text eveniment

Serviciul Netlogon nu a reușit să redirecționeze o solicitare de conectare a tichetului de rețea Kerberos către controlerul de domeniu <DC>. Pentru mai multe informații, vizitați https://go.microsoft.com/fwlink/?linkid=2261497.

Cont tichet serviciu: cont <>

Domeniu tichet serviciu:> de domeniu <

Nume stație de lucru: <nume computer>

Acest eveniment este generat ori de câte ori Netlogon nu a putut finaliza conectarea tichetului de rețea, deoarece un controler de domeniu nu a înțeles modificările. Din cauza limitărilor din protocolul Netlogon, clientul Netlogon nu poate determina dacă Controlerul de domeniu cu care vorbește direct clientul Netlogon este cel care nu înțelege modificările sau dacă este un controler de domeniu de-a lungul lanțului de redirecționare care nu înțelege modificările.

  • Dacă domeniul tichetului de serviciu este același cu domeniul contului de computer, probabil că controlerul de domeniu din jurnalul de evenimente nu înțelege fluxul de conectare a tichetului de rețea.

  • Dacă Domeniul tichetului de serviciu este diferit de domeniul contului computerului, unul dintre controlerul de domeniu de-a lungul drumului de la Domeniul contului de dispozitiv la domeniul contului de serviciu nu a înțeles fluxul de conectare a tichetului de rețea

Acest eveniment este dezactivat în mod implicit. Microsoft recomandă utilizatorilor să își actualizeze mai întâi întreaga flotă înainte de a activa evenimentul.

Acest eveniment este înregistrat atunci când AuditKerberosTicketLogonEvents este setat la (2).

Întrebări frecvente (Întrebări frecvente)

Un controler de domeniu care nu este actualizat nu va recunoaște această structură de solicitare nouă. Acest lucru va face ca verificarea de securitate să nu reușească. În modul de compatibilitate, se va utiliza vechea structură de solicitări. Acest scenariu este încă vulnerabil la CVE-2024-26248 și CVE-2024-29056.

Da. Acest lucru se întâmplă deoarece noul flux de conectare la tichetul de rețea poate fi necesar să fie distribuit între domenii pentru a ajunge la domeniul contului de serviciu.

Validarea PAC poate fi ignorată în anumite circumstanțe, inclusiv, dar fără a se limita la, următoarele scenarii:

  • Dacă serviciul are privilegiul TCB. În general, serviciile care rulează în contextul contului SYSTEM (cum ar fi partajările de fișiere SMB sau serverele LDAP) au acest privilegiu.

  • Dacă serviciul este rulat din Programatorul de activități.

În caz contrar, validarea PAC se efectuează pentru toate fluxurile de autentificare Kerberos de intrare.

Aceste CV-uri implică o sporire locală a privilegiilor, unde un cont de serviciu rău intenționat sau compromis care rulează pe stația de lucru Windows încearcă să-și ridice privilegiul pentru a obține drepturi de administrare locală. Acest lucru înseamnă că este afectată doar stația de lucru Windows care acceptă autentificarea Kerberos de intrare.

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.