Обновлено
10 апреля 2023 г. Обновлен "Третий этап развертывания" с 11 апреля 2023 г. по 13 июня 2023 г. в разделе "Время обновления для решения CVE-2022-37967".
В этой статье
Сводка
Обновления Windows от 8 ноября 2022 г. устраняют уязвимости обхода безопасности и повышения привилегий с помощью подписей сертификата атрибута привилегий (PAC). Это обновление для системы безопасности устраняет уязвимости Kerberos, из-за которых злоумышленник может изменить цифровые подписи PAC, повышая свои привилегии.
Чтобы защитить среду, установите это обновление Windows на всех устройствах, включая контроллеры домена Windows. Все контроллеры домена в домене должны быть обновлены в первую очередь перед переключением обновления в принудительный режим.
Дополнительные сведения об этих уязвимостях см. в разделе CVE-2022-37967.
Действие
Чтобы защитить среду и предотвратить сбои, рекомендуется выполнить следующие действия.
-
ОБНОВите контроллеры домена Windows с обновлением Windows, выпущенным 8 ноября 2022 г. или позже.
-
Переместите контроллеры домена Windows в режим аудита с помощью раздела параметров раздела реестра .
-
MONITOR событий, поданных в режиме аудита, для защиты среды.
-
ВКЛЮЧИТЬРежим принудительного применения для решения проблемы CVE-2022-37967 в вашей среде.
Примечание Шаг 1 установки обновлений, выпущенных 8 ноября 2022 г. или позже, по умолчанию не устраняет проблемы безопасности в CVE-2022-37967 для устройств Windows. Чтобы полностью устранить проблему безопасности на всех устройствах, необходимо как можно скорее перейти в режим аудита (описано в шаге 2), а затем — принудительный режим (описанный в шаге 4).
Важно! С июля 2023 г. режим принудительного применения будет включен на всех контроллерах домена Windows и будет блокировать уязвимые подключения с устройств, не соответствующих требованиям. В это время вы не сможете отключить обновление, но можете вернуться к параметру Режим аудита. Режим аудита будет удален в октябре 2023 г., как описано в разделе Время обновления для устранения уязвимости Kerberos CVE-2022-37967 .
Время обновления для cve-2022-37967
Обновления будут выпущены поэтапно: начальный этап обновления, выпущенный 8 ноября 2022 года или позже, и этап принудительного применения обновлений, выпущенных 13 июня 2023 года или позже.
Начальный этап развертывания начинается с обновлений, выпущенных 8 ноября 2022 г., и продолжается с последующими обновлениями Windows до этапа принудительного применения. Это обновление добавляет подписи в буфер PAC Kerberos, но не проверка для подписей во время проверки подлинности. Таким образом, безопасный режим отключен по умолчанию.
Это обновление:
-
Добавляет подписи PAC в буфер PAC Kerberos.
-
Добавляет меры по устранению уязвимости обхода безопасности в протоколе Kerberos.
Второй этап развертывания начинается с обновлений, выпущенных 13 декабря 2022 г. Эти и более поздние обновления вносят изменения в протокол Kerberos для аудита устройств Windows путем перемещения контроллеров домена Windows в режим аудита.
При этом обновлении все устройства по умолчанию будут находиться в режиме аудита:
-
Если подпись отсутствует или недопустимая, проверка подлинности разрешена. Кроме того, будет создан журнал аудита.
-
Если подпись отсутствует, создайте событие и разрешите проверку подлинности.
-
Если подпись присутствует, проверьте ее. Если сигнатура неправильная, создайте событие и разрешите проверку подлинности.
Обновления Windows, выпущенные 13 июня 2023 г. или позже, будут выполнять следующие действия.
-
Удалите возможность отключения добавления подписи PAC, задав в подразделе KrbtgtFullPacSignature значение 0.
Обновления Windows, выпущенные 11 июля 2023 г. или позже, будут выполнять следующие действия.
-
Удаляет возможность задать значение 1 для подраздела KrbtgtFullPacSignature.
-
Перемещает обновление в режим принудительного применения (по умолчанию) (KrbtgtFullPacSignature = 3), который может быть переопределен администратором с помощью явного параметра аудита.
Обновления Windows, выпущенные 10 октября 2023 г. или позже, будут выполнять следующие действия.
-
Удаляет поддержку подраздела реестра KrbtgtFullPacSignature.
-
Удаляет поддержку режима аудита.
-
Во всех билетах службы без новых подписей PAC будет отказано в проверке подлинности.
Рекомендации по развертыванию
Чтобы развернуть обновления Windows от 8 ноября 2022 г. или более поздних версий, выполните следующие действия.
-
ОБНОВите контроллеры домена Windows с обновлением, выпущенным 8 ноября 2022 г. или позже.
-
Переместите контроллеры домена в режим аудита с помощью раздела параметров раздела реестра.
-
MONITOR событий, поданных в режиме аудита, чтобы защитить среду.
-
ВКЛЮЧИТЬ Режим принудительного применения для решения проблемы CVE-2022-37967 в вашей среде.
ШАГ 1. ОБНОВЛЕНИЕ
Разверните обновления от 8 ноября 2022 г. или более поздних версий для всех применимых контроллеров домена Windows. После развертывания обновления обновленные контроллеры домена Windows будут иметь подписи, добавленные в буфер PAC Kerberos, и будут небезопасны по умолчанию (подпись PAC не проверяется).
-
При обновлении не забудьте сохранить значение реестра KrbtgtFullPacSignature в состоянии по умолчанию, пока не будут обновлены все контроллеры домена Windows.
ШАГ 2. ПЕРЕМЕЩЕНИЕ
После обновления контроллеров домена Windows переключитесь в режим аудита, изменив значение KrbtgtFullPacSignature на 2.
ШАГ 3. ПОИСК И МОНИТОРИНГ
Определите области, в которых отсутствуют подписи PAC или имеются подписи PAC, которые не проходят проверку через журналы событий, активируемые в режиме аудита.
-
Перед переходом в режим принудительного применения убедитесь, что для уровня работы домена задано значение не менее 2008 или выше. Переход в режим принудительного применения с доменами на функциональном уровне домена 2003 может привести к сбоям проверки подлинности.
-
События аудита будут отображаться, если домен не полностью обновлен или если в вашем домене по-прежнему существуют невыполненные ранее выданные билеты на обслуживание.
-
Продолжайте отслеживать наличие дополнительных журналов событий, которые указывают на отсутствие подписей PAC или на сбои проверки существующих подписей PAC.
-
После обновления всего домена и истечения срока действия всех невыполненных билетов события аудита больше не должны отображаться. Затем вы сможете перейти в режим принудительного применения без сбоев.
ШАГ 4. ВКЛЮЧЕНИЕ
Включите режим принудительного применения для решения проблемы CVE-2022-37967 в вашей среде.
-
Когда все события аудита будут разрешены и больше не отображаются, переместите домены в режим принудительного применения, обновив значение реестра KrbtgtFullPacSignature , как описано в разделе Параметры раздела реестра.
-
Если в запросе службы есть недопустимая подпись PAC или отсутствуют подписи PAC, проверка завершится ошибкой и будет зарегистрировано событие ошибки.
Параметры раздела реестра
Протокол Kerberos
После установки обновлений Windows, датируемых 8 ноября 2022 г. или позже, для протокола Kerberos доступен следующий раздел реестра:
-
KrbtgtFullPacSignature
Этот раздел реестра используется для регистрации развертывания изменений Kerberos. Этот раздел реестра является временным и больше не будет считываться после полной даты принудительного применения 10 октября 2023 г.Раздел реестра
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Значение
KrbtgtFullPacSignature
Тип данных
REG_DWORD
Данные
0 — отключено
1 — новые подписи добавляются, но не проверяются. (параметр по умолчанию)
2 — режим аудита. Новые подписи добавляются и проверяются, если они присутствуют. Если подпись отсутствует или недопустимая, проверка подлинности разрешена и создаются журналы аудита.
3 . Режим принудительного применения. Новые подписи добавляются и проверяются, если они присутствуют. Если подпись отсутствует или недопустимая, проверка подлинности отклоняется и создаются журналы аудита.
Требуется перезапуск?
Нет
Примечание Если необходимо изменить значение реестра KrbtgtFullPacSignature, вручную добавьте, а затем настройте раздел реестра, чтобы переопределить значение по умолчанию.
События Windows, связанные с CVE-2022-37967
В режиме аудита может возникнуть любая из следующих ошибок, если подписи PAC отсутствуют или недопустимы. Если эта проблема продолжается в режиме принудительного применения, эти события будут регистрироваться как ошибки.
Если на устройстве обнаружена любая ошибка, скорее всего, все контроллеры домена Windows в вашем домене не обновлены с обновлением Windows от 8 ноября 2022 г. или более поздней версии. Чтобы устранить эти проблемы, вам потребуется дополнительно изучить домен, чтобы найти контроллеры домена Windows, которые не являются актуальными.
Примечание Если вы обнаружили ошибку с идентификатором события 42, см. статью KB5021131: Управление изменениями протокола Kerberos, связанными с CVE-2022-37966.
|
Журнал событий |
Система |
|
Тип события |
Предупреждение |
|
Источник события |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
Идентификатор события |
43 |
|
Текст события |
Центр распространения ключей (KDC) обнаружил билет, который ему не удалось проверить |
|
Журнал событий |
Система |
|
Тип события |
Предупреждение |
|
Источник события |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
Идентификатор события |
44 |
|
Текст события |
Центр распространения ключей (KDC) обнаружил билет, который не содержал полную подпись PAC. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2210019. Клиент: <области>/<name> |
Сторонние устройства, реализующие протокол Kerberos
В доменах со сторонними контроллерами домена могут возникать ошибки в режиме принудительного применения.
Домены со сторонними клиентами могут занять больше времени, чтобы полностью очиститься от событий аудита после установки обновления Windows от 8 ноября 2022 г. или более поздней версии.
Обратитесь к производителю устройства (OEM) или поставщику программного обеспечения, чтобы определить, совместимо ли его программное обеспечение с последним изменением протокола.
Сведения об обновлениях протокола см. в разделе Протокол Windows на веб-сайте Майкрософт.
Глоссарий
Kerberos — это протокол проверки подлинности сети компьютера, который работает на основе "билетов", что позволяет узлам, обменяющимся данными по сети, безопасно доказывать свою личность друг другу.
Служба Kerberos, которая реализует службы проверки подлинности и предоставления билетов, указанные в протоколе Kerberos. Служба выполняется на компьютерах, выбранных администратором области или домена; Он присутствует не на каждом компьютере в сети. Он должен иметь доступ к базе данных учетной записи для обслуживаемой области. Контроллеры домена интегрируются в роль контроллера домена. Это сетевая служба, которая предоставляет клиентам билеты для использования при проверке подлинности служб.
Сертификат атрибута привилегий (PAC) — это структура, которая передает сведения, связанные с авторизацией, предоставляемые контроллерами домена (DCs). Дополнительные сведения см. в разделе Структура данных сертификата атрибута привилегий.
Особый тип билета, который можно использовать для получения других билетов. Билет на предоставление билета (TGT) получается после первоначальной проверки подлинности в обмене службой проверки подлинности (AS); После этого пользователям не нужно представлять свои учетные данные, но они могут использовать TGT для получения последующих билетов.
