Аннотация
Обновления от 11 января 2022 г. Windows и более поздних версий Windows защиты для CVE-2022–21913.
После установки обновлений от 11 января 2022 г. Windows или более поздних версий Windows в качестве предпочтительного способа шифрования на клиентах Windows при использовании устаревшего протокола Local Security Authority (Domain Policy) (MS-LSAD) для операций с паролями надежных доменных объектов, которые отправляются по сети, используется шифрование Advanced Encryption Standard (AES). Это справедливо только в том случае, если сервер поддерживает шифрование AES. Если шифрование AES не поддерживается сервером, система позволит использовать устаревшее шифрование RC4.
Изменения в CVE-2022–21913 занося в протокол MS-LSAD. Они не зависят от других протоколов. MS-LSAD использует блок сообщений сервера (SMB) для удаленного вызова процедуры
(RPC) и именовались каналами. Хотя SMB также поддерживает шифрование, по умолчанию оно не включено. По умолчанию изменения в CVE-2022–21913 включены и обеспечивают дополнительную безопасность на уровне LSAD. После установки защиты CVE-2022–21913, включенных в обновления от 11 января 2022 г., Windows и более поздние версии Windows для всех поддерживаемых версий Windows, не требуется никаких дополнительных изменений конфигурации. Неподдермаваемая версия Windows должна быть прекращена или обновлена до поддерживаемой версии.
Примечание. CVE-2022–21913 изменяет только способ шифрования надежных паролей при использовании определенных API протокола MS-LSAD, но не изменяет способ хранения паролей во время хранения. Дополнительные сведения о шифровании паролей во время работы в Active Directory и локально в базе данных SAM (реестре) см. в техническом обзоре паролей.
Дополнительная информация
Изменения, внесенные в обновления от 11 января 2022 г.
-
Шаблон объекта политики
Обновления изменяют шаблон объекта политики протокола путем добавления нового метода Open Policy, который позволяет клиенту и серверу обмениваться сведениями о поддержке AES.Старый метод с использованием RC4
Новый метод с использованием AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Полный список опнумов протокола MS-LSAR см. в [MS-LSAD]:события обработки сообщений и правила последовательного секания.
-
Шаблон надежных доменных объектов
Обновления изменяют объект trusted Domain Create pattern of the protocol путем добавления нового метода для создания доверия, которое будет использовать AES для шифрования данных проверки подлинности.
API LsaCreateTrustedDomainEx теперь предпочитает новый метод, если клиент и сервер будут обновлены и будут отсутствуть на более старом методе в противном случае.
Старый метод с использованием RC4
Новый метод с использованием AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Обновления изменяют шаблон набора объектов надежного домена протокола, добавив два новых класса надежных данных к методам LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Сведения о надежных доменных объектах можно настроить следующим образом.
Старый метод с использованием RC4
Новый метод с использованием AES
LsarSetInformationTrustedDomain (Opnum 27) вместе с TrustedDomainAuthInformationInternal или TrustedDomainFullInformationInternal (содержит зашифрованный пароль доверия, использующий RC4)
LsarSetInformationTrustedDomain (Opnum 27) вместе с TrustedDomainAuthInformationInternalAes или TrustedDomainFullInformationAes (содержит зашифрованный пароль доверия, использующий AES)
LsarSetTrustedDomainInfoByName (Opnum 49) вместе с TrustedDomainAuthInformationInternal или TrustedDomainFullInformationInternal (содержит зашифрованный пароль доверия, использующий RC4 и все остальные атрибуты)
LsarSetTrustedDomainInfoByName (Opnum 49) вместе с TrustedDomainAuthInformationInternalAes или TrustedDomainFullInformationInternalAes (содержит зашифрованный пароль доверия, использующий AES и все остальные атрибуты)
Как работает новое поведение
Существующий метод LsarOpenPolicy2 обычно используется для открытия контекстного обрабатывать RPC-сервер. Это первая функция, которая должна быть вызвана для связи с базой данных удаленного протокола local Security Authority (Domain Policy). После установки этих обновлений метод LsarOpenPolicy2 будет замеен новым методом LsarOpenPolicy3.
Обновленный клиент, который вызывает API LsaOpenPolicy, теперь сначала вызывает метод LsarOpenPolicy3. Если сервер не обновляется и не реализует метод LsarOpenPolicy3, клиент возвращается к методу LsarOpenPolicy2 и использует предыдущие методы шифрования RC4.
Обновленный сервер возвращает новый бит в ответе метода LsarOpenPolicy3, как определено в LSAPR_REVISION_INFO_V1. Дополнительные сведения см. в разделах "Использование шифра AES" и "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" в MS-LSAD.
Если сервер поддерживает AES, клиент будет использовать новые методы и классы информации для последующих доверенных операций "create" и "set". Если сервер не возвращает этот флаг или клиент не обновляется, клиент вернется к использованию предыдущих методов шифрования RC4.
Ведение журнала событий
Обновления от 11 января 2022 г. добавляют в журнал событий безопасности новое событие, помогая выявлять устройства, которые не обновлялись, и улучшать безопасность.
|
Значение |
Смысл |
|---|---|
|
Источник событий |
Microsoft-Windows-Security |
|
ИД события |
6425 |
|
Уровень |
Информация |
|
Текст сообщения о событии |
Сетевой клиент использовал устаревший метод RPC для изменения сведений проверки подлинности для надежного домена. Данные проверки подлинности были зашифрованы с помощью устаревшего алгоритма шифрования. Обновив клиентскую операционную систему или приложение, вы можете использовать последнюю и более безопасную версию этого метода. Надежный домен:
Изменено:
Сетевой адрес клиента: Дополнительные сведения можно найти в https://go.microsoft.com/fwlink/?linkid=2161080. |
Вопросы и ответы
Вопрос1. Какие сценарии запускают процесс понижения С AES до RC4?
A1: Понижение происходит, если сервер или клиент не поддерживает AES.
Вопрос 2. Как определить, было ли согласовано шифрование RC4 или шифрование AES?
A2: При использовании устаревших методов, которые используют RC4, на обновленных серверах будет журнал событий 6425.
Вопрос3. Можно ли требовать шифрование AES на сервере и будет ли Windows программно применять их с помощью AES?
A3: В настоящее время режим обеспечения соблюдения не доступен. Однако это может произойть в будущем, хотя такое изменение не планируется.
Вопрос4. Поддерживают ли сторонние клиенты защиту CVE-2022–21913 для соглашения об AES при поддержке сервера? Следует ли обратиться в службу поддержки Майкрософт или к стороне службы поддержки, чтобы ответить на этот вопрос?
A4: Если стороне устройство или приложение не использует протокол MS-LSAD, это не важно. Сторонние поставщики, внедряют протокол MS-LSAD, могут выбрать этот протокол. За дополнительными сведениями обратитесь к стороне поставщику.
Вопрос 5. Нужно ли вносить дополнительные изменения в конфигурацию?
A5: Дополнительные изменения конфигурации не требуется.
Вопрос 6. Как используется этот протокол?
A6: Протокол MS-LSAD используется многими компонентами Windows, включая Active Directory и такие инструменты, как консоль доменов Active Directory и trusts. Приложения также могут использовать этот протокол через API библиотек advapi32, например LsaOpenPolicy или LsaCreateTrustedDomainEx.
