ОБНОВЛЕНО 14 марта 2023 г.
Сводка
CVE-2021-42287 устраняет уязвимость обхода безопасности, которая влияет на сертификат атрибута привилегий Kerberos (PAC) и позволяет потенциальным злоумышленникам олицетворять контроллеры домена. Чтобы воспользоваться этой уязвимостью, скомпрометированная учетная запись домена может привести к тому, что центр распространения ключей (KDC) создаст билет службы с более высоким уровнем привилегий, чем у скомпрометированного учетных записей. Это достигается путем запрета KDC определить, для какой учетной записи указан билет службы с более высоким уровнем привилегий.
Улучшенный процесс проверки подлинности в CVE-2021-42287 добавляет новые сведения об исходном инициаторе запроса в PAC Kerberos Ticket-Granting Tickets (TGT). Позже при создании билета службы Kerberos для учетной записи новый процесс проверки подлинности проверяет, что учетная запись, запрашивающая TGT, является той же учетной записью, на которую ссылается билет службы.
После установки обновлений Windows от 9 ноября 2021 г. или более поздней версии paCs будут добавлены в TGT всех учетных записей домена, даже тех, которые ранее отказались от paCs.
Принять меры
Чтобы защитить среду и избежать сбоев, выполните следующие действия.
-
Обновите все устройства, на которых размещена роль контроллера домена Active Directory, установив обновление для системы безопасности от 9 ноября 2021 г. и обновление от 14 ноября 2021 г. Найдите номер базы знаний OOB для конкретной ОС ниже.
ОС
Номер базы знаний
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Windows Server 2008 с пакетом обновления 2 (SP2)
-
После установки обновления для системы безопасности от 9 ноября 2021 г. и обновления OOB от 14 ноября 2021 г. на всех контроллерах домена Active Directory в течение по крайней мере 7 дней настоятельно рекомендуется включить режим принудительного применения на всех контроллерах домена Active Directory.
-
Начиная с обновления этапа принудительного применения от 11 октября 2022 г. режим принудительного применения будет включен на всех контроллерах домена Windows и потребуется.
Время обновления Windows — (обновлено 31.01.23)
Эти Обновления Windows будут выпущены в три этапа:
-
Начальное развертывание — введение обновления, а также раздел реестра PacRequestorEnforcement .
-
Второе развертывание — удаление значения PacRequestorEnforcement 0 (возможность отключения раздела реестра)
-
Этап принудительного применения — режим принудительного применения включен. Этот этап устаревает ключ PacRequestorEnforcement и больше не считывает его.
9 ноября 2021 г.: этап начального развертывания
Начальный этап развертывания начинается с обновления Windows, выпущенного 9 ноября 2021 г. Этот выпуск:
-
Добавлена защита от CVE-2021-42287
-
Добавлена поддержка значения реестра PacRequestorEnforcement , которое позволяет перейти на фазу принудительного применения на ранних этапах.
Устранение рисков заключается в установке обновлений Windows на всех устройствах, на которых размещена роль контроллера домена и контроллеры домена только для чтения (RODC).
12 июля 2022 г.: второй этап развертывания
Второй этап развертывания начинается с обновления Windows, выпущенного 12 июля 2022 г. На этом этапе параметр PacRequestorEnforcement 0 удаляется. Установка параметра PacRequestorEnforcement в значение 0 после установки этого обновления будет иметь тот же эффект, что и для параметра PacRequestorEnforcement значение 1. Контроллеры домена (DCs) будут находиться в режиме развертывания.
Примечание Этот этап не является обязательным, если в среде pacRequestorEnforcement никогда не устанавливалось значение 0. Этот этап помогает убедиться, что клиенты, для которого установлено значение PacRequestorEnforcement равным 0, перейдут к параметру 1 перед этапом принудительного применения.
Примечание Это обновление предполагает, что все контроллеры домена обновлены до обновления Windows от 9 ноября 2021 г. или более поздней версии.
11 октября 2022 г.: этап принудительного применения — (обновлено 31.01.23)
В выпуске от 11 октября 2022 г. все контроллеры домена Active Directory будут переведены на этап принудительного применения. Этап принудительного применения не рекомендует ключ PacRequestorEnforcement и больше не считывает его. В результате контроллеры домена Windows, на которых установлено обновление от 11 октября 2022 г., больше не будут совместимы с:
-
Контроллеры домена, которые не устанавливали обновления от 9 ноября 2021 г. или более поздних версий.
-
Контроллеры домена, которые установили обновления от 9 ноября 2021 г. или более поздних версий, но еще не установили обновление от 12 июля 2022 г. и имеют значение реестра PacRequestorEnforcement , равное 0.
Однако контроллеры домена Windows, на которых установлено обновление от 11 октября 2022 г., останутся совместимыми с:
-
Контроллеры домена Windows, на которых установлены обновления от 11 октября 2022 г. или более поздних версий
-
Оконные контроллерыдомена, которые установили обновления от 9 ноября 2021 г. или более поздней версии и имеют значение PacRequestorEnforcement либо 1, либо 2
Сведения о разделе реестра
После установки средств защиты CVE-2021-42287 в обновлениях Windows, выпущенных с 9 ноября 2021 г. по 14 июня 2022 г., будет доступен следующий раздел реестра:
Подраздел реестра |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Значение |
PacRequestorEnforcement |
Тип данных |
REG_DWORD |
Данные |
1. Добавьте новый PAC для пользователей, прошедших проверку подлинности с помощью контроллера домена Active Directory с установленными обновлениями от 9 ноября 2021 г. или более поздних версий. При проверке подлинности, если у пользователя есть новый PAC, PAC проверяется. Если у пользователя нет нового PAC, дальнейшие действия не предпринимаются. Контроллеры домена Active Directory в этом режиме находятся на этапе развертывания. 2. Добавьте новый PAC для пользователей, прошедших проверку подлинности с помощью контроллера домена Active Directory с установленными обновлениями от 9 ноября 2021 г. или более поздних версий. При проверке подлинности, если у пользователя есть новый PAC, PAC проверяется. Если у пользователя нет нового PAC, проверка подлинности отклоняется. Контроллеры домена Active Directory в этом режиме находятся на этапе принудительного применения. 0: отключает раздел реестра. Не рекомендуется. Контроллеры домена Active Directory в этом режиме находятся на этапе Отключено. Это значение не будет существовать после обновления от 12 июля 2022 г. или более поздних версий. Важно Параметр 0 несовместим с параметром 2. Если оба параметра используются в лесу, могут возникать периодические сбои. Если используется параметр 0, рекомендуется перевести параметр 0 (отключить) на параметр 1 (развертывание) по крайней мере на неделю, прежде чем перейти к параметру 2 (режим принудительного применения). |
По умолчанию |
1 (если раздел реестра не задан) |
Требуется ли перезапуск? |
Нет |
События аудита
Обновление Windows от 9 ноября 2021 г. также добавит новые журналы событий.
PAC без атрибутов
KDC обнаруживает TGT без буфера атрибута PAC. Вполне вероятно, что другой KDC в журналах не содержит обновления или находится в отключенном режиме.
Журнал событий |
Система |
Тип события |
Предупреждение |
Источник события |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Идентификатор события |
35 |
Текст события |
Центр распространения ключей (KDC) обнаружил билет-предоставление билета (TGT) из другого KDC ("<KDC Name>"), который не содержал поле атрибутов PAC. |
Билет без PAC
KDC встречает TGT или другой билет доказательства без PAC. Это предотвращает применение KDC проверок безопасности для билета.
Журнал событий |
Система |
Тип события |
Предупреждение на этапе развертывания Ошибка на этапе принудительного применения |
Источник события |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Идентификатор события |
36 |
Текст события |
Центр распространения ключей (KDC) обнаружил билет, который не содержал PAC при обработке запроса на другой билет. Это не позволяло выполнять проверки безопасности и может привести к уязвимостям системы безопасности. Клиент: <доменное имя>\<имя пользователя> Билет для: <имя службы> |
Билет без инициатора запроса
KDC обнаруживает TGT или другой билет доказательства без буфера PAC Requestor. Вполне вероятно, что KDC, сконструированный PAC, не содержит обновление или находится в режиме "Отключено".
Примечание Важные сведения о событии 37 см. в разделе Известные проблемы .
Журнал событий |
Система |
Тип события |
Предупреждение на этапе развертывания Ошибка на этапе принудительного применения |
Источник события |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Идентификатор события |
37 |
Текст события |
Центр распространения ключей (KDC) обнаружил билет, который не содержал сведения об учетной записи, которая запросила билет при обработке запроса на другой билет. Это не позволяло выполнять проверки безопасности и может привести к уязвимостям системы безопасности. Билет PAC создан: <KDC Name> Клиент: <доменное имя>\<имя клиента> Билет для: <имя службы> |
Несоответствие инициатора запроса
KDC сталкивается с запросом TGT или другим подтверждением, и учетная запись, запрашивающая запрос TGT или подтверждение, не соответствует учетной записи, для которой создан билет службы.
Журнал событий |
Система |
Тип события |
Ошибка |
Источник события |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Идентификатор события |
38 |
Текст события |
Центр распространения ключей (KDC) обнаружил билет, содержащий несогласованную информацию об учетной записи, которая запросила билет. Это может означать, что учетная запись была переименована с момента выдачи билета, который, возможно, был частью попытки эксплойта. Билет PAC создан: <Kdc Name> Клиент: <доменное имя>\<имя пользователя> Билет для: <имя службы> Запрос идентификатора безопасности учетной записи из Active Directory: <SID> Запрос идентификатора безопасности учетной записи из билета: <SID> |
Известные проблемы
Проблема |
Временное решение |
---|---|
После установки обновлений Windows, выпущенных 9 ноября 2021 г. или более поздней версии на контроллерах домена (DCs), некоторые клиенты могут увидеть новое событие аудита с идентификатором 37, зарегистрированное после определенных операций настройки пароля или изменения, таких как:
Если после установки обновлений Windows от 9 ноября 2021 г. или более поздней версии в течение недели не отображается событие с идентификатором 37, а параметр PacRequestorEnforcement имеет значение "1" или "2", ваша среда не затрагивается. Если задать параметр PacRequestorEnforcement = 1, событие с идентификатором 37 регистрируется в журнале как предупреждение, но запросы на изменение пароля будут выполнены и не повлияют на пользователей. Если задать параметр PacRequestorEnforcement = 2, запросы на изменение пароля завершатся ошибкой и приведут к сбою перечисленных выше операций. |
Эта проблема устранена в следующих обновлениях:
|
Вопросы и ответы
Вопрос 1 Что произойдет, если у меня есть сочетание контроллеров домена Active Directory, которые обновлены и не обновлены?
A1. Сочетание контроллеров домена, которые обновляются и не обновляются, но имеют значение реестра PacRequestorEnforcement по умолчанию, равное 1, совместимы друг с другом. Однако корпорация Майкрософт настоятельно не рекомендует обновлять контроллеры домена, которые не обновляются в среде.
Вопрос 2 Что произойдет, если у меня есть сочетание контроллеров домена Active Directory с различными значениями PacRequestorEnforcement?
A2. Сочетание контроллеров домена со значениями PacRequestorEnforcement 0 и 1 совместимы друг с другом. Сочетание контроллеров домена со значениями PacRequestorEnforcement 1 и 2 совместимы друг с другом. Сочетание контроллеров домена со значениями PacRequestorEnforcement 0 и 2 несовместимы друг с другом и могут привести к периодическим сбоям. Дополнительные сведения см. в разделе Сведения о разделе разделов реестра.