Súhrn
Aktualizácie z 11. januára 2022 Windows novších Windows pridáva ochranu CVE-2022-21913.
Po inštalácii aktualizácie Windows Windows (Advanced Encryption Standard) (AES) z 11. januára 2022 sa ako preferovaný spôsob šifrovania v klientoch Windows pri používaní staršieho protokolu LOCAL Security Authority (Domain Policy) (MS-LSAD) pre operácie s heslom dôveryhodných domén, ktoré sa odosielajú prostredníctvom siete, nastaví šifrovanie pomocou rozšíreného štandardu AES (Advanced Encryption Standard). Platí to iba v prípade, že server podporuje šifrovanie AES. Ak server nepodporuje šifrovanie AES, systém umožní návrat k staršiemu šifrovaniu RC4.
Zmeny v CVE-2022-21913 sú špecifické pre protokol MS-LSAD. Sú nezávislé od iných protokolov. MS-LSAD používa blok hlásení servera (SMB) cez volanie procedúr na diaľku
(RPC) a pomenované presmerovania. Hoci SMB podporuje aj šifrovanie, nie je predvolene povolené. Zmeny vo formáte CVE-2022-21913 sú predvolene povolené a vo vrstve LSAD poskytujú dodatočné zabezpečenie. Po inštalácii ochrany CVE-2022-21913, ktoré sú súčasťou aktualizácií Z 11. januára 2022, aktualizácií pre Windows a novších aktualizácií pre Windows, sa v rámci všetkých podporovaných verzií balíka Windows nie sú potrebné žiadne ďalšie zmeny konfigurácie. Nepodporované verzie Windows by mali byť zrušené alebo inovované na podporovanú verziu.
Poznámka CVE-2022-21913 upravuje len spôsob šifrovania dôveryhodných hesiel počas prepravy, keď používate konkrétne rozhrania API protokolu MS-LSAD, a konkrétne neupravujú spôsob ukladania hesiel v čase, keď sú uložené. Ďalšie informácie o šifrovaní hesiel v službe Active Directory a lokálne v databáze SAM (registry) nájdete v téme Technické prehľad hesiel.
Ďalšie informácie
Zmeny vykonané v aktualizáciách z 11. januára 2022
-
Vzor objektu politiky
Aktualizácie upravujú vzor objektu politiky protokolu pridaním novej metódy Open Policy, ktorá umožňuje klientovi a serveru zdieľať informácie o podpore AES.Stará metóda s použitím RC4
Nová metóda pomocou AES
LoxyOpenPolicy2 (Opnum 44)
LoxyOpenPolicy3 (opnum 130)
Úplný zoznam čísel protokolov MS-LRM nájdete v téme [MS-LSAD]: Udalosti spracovaniaspráv a pravidlá postupnosti.
-
Vzor dôveryhodného objektu domény
Aktualizácie upravujú vzor vytvorenia dôveryhodného objektu domény protokolu pridaním novej metódy na vytvorenie dôveryhodnosti, ktorá bude používať AES na šifrovanie overiných údajov.
Ak sa klient aj server aktualizujú a pri iných prípadoch sa vrátia k staršej metóde, rozhranie API LsaCreateTrustedDomainEx bude teraz preferovať novú metódu.
Stará metóda s použitím RC4
Nová metóda pomocou AES
LreaCreateTrustedDomainEx2 (Opnum 59)
LreaCreateTrustedDomainEx3 (Opnum 129)
Aktualizácie upravujú vzor množiny dôveryhodných domén pre protokol pridaním dvoch nových tried dôveryhodných informácií do metód L premenySetInformationTrustedDomain (Opnum 27), LtrustedDomainInfoByName (Opnum 49). Informácie o dôveryhodnom objekte domény môžete nastaviť takto.
Stará metóda s použitím RC4
Nová metóda pomocou AES
LzinSetInformationTrustedDomain (Opnum 27) spolu s TrustedDomainAuthInformationInternal alebo TrustedDomainFullInformationInternal (holds a encrypted trust password that uses RC4)
LzinSetInformationTrustedDomain (Opnum 27) spolu s TrustedDomainAuthInformationInternalAes alebo TrustedDomainFullInformationAes (holds šifrovaného dôveryhodného hesla, ktoré používa AES)
LzinSetTrustedDomainInfoByName (Opnum 49) spolu s TrustedDomainAuthInformationInternal alebo TrustedDomainFullInformationInternal (holds a encrypted trust password that uses RC4 and all other attributes)
LzinSetTrustedDomainInfoByName (Opnum 49) spolu s TrustedDomainAuthInformationInternalAes alebo TrustedDomainFullInformationInternalAes (holds an encrypted trust password that uses AES and all other attributes)
Ako funguje nové správanie
Existujúca metóda L rpcOpenPolicy2 sa zvyčajne používa na otvorenie kontextovej rukoväte na server RPC. Toto je prvá funkcia, ktorú treba volať, aby sa obrátila na databázu Remote Protocol Local Security Authority (Domain Policy) Remote Protocol. Po nainštalovaní týchto aktualizácií sa metóda L priEotvoreníPolicy2 nahrádza novou metódou L priEpenPolicy3.
Aktualizovaný klient, ktorý volá rozhranie API LsaOpenPolicy, teraz najskôr zavolá metóda L pre L preplicenPolicy3. Ak sa server neaktualizuje a neimplementovať metódu L pre Windows ApenPolicy3, klient sa vráti späť k metóde LlockerOpenPolicy2 a použije predchádzajúce metódy, ktoré používajú šifrovanie RC4.
Aktualizovaný server vráti nový bit v odpovedi metódy L pre metódu L prePpenPolicy3, ako je definované v LSAPR_REVISION_INFO_V1. Ďalšie informácie nájdete v častiach Používanie šifrovanej šifrovanej AES a LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES v MS-LSAD.
Ak server podporuje AES, klient bude používať nové metódy a nové informačné triedy pre následné operácie vytvorenia a nastavenia dôveryhodnej domény. Ak server tento príznak nevráti alebo ak sa klient neaktualizuje, klient opäť použije predchádzajúce metódy, ktoré používajú šifrovanie RC4.
Zapisovanie udalostí do denníka
Aktualizácie z 11. januára 2022 pridávajú do denníka udalostí zabezpečenia novú udalosť, aby pomohli identifikovať zariadenia, ktoré sa neaktualizovali, a pomohli zlepšiť zabezpečenie.
Hodnota |
Význam |
---|---|
Zdroj udalostí |
Microsoft-Windows-Security |
Identifikácia udalosti |
6425 |
Úroveň |
Informácie |
Text správy udalosti |
Sieťový klient používal staršiu metódu RPC na úpravu informácií overenia v objekte dôveryhodnej domény. Informácie overovania boli šifrované staršími šifrovacími algoritmami. Ak chcete používať najnovšiu a bezpečnejší verziu tejto metódy, zvážte inováciu klientskeho operačného systému alebo aplikácie. Dôveryhodná doména:
Upravil:
Sieťová adresa klienta: Ďalšie informácie nájdete v článku https://go.microsoft.com/fwlink/?linkid=2161080. |
Najčastejšie otázky
1. otázka: Aké scenáre spúšťajú prechod na staršiu verziu z AES na RC4?
A1: Prechod na staršiu verziu sa vyskytne vtedy, ak server alebo klient nepodporuje prechod na staršiu verziu.
2. otázka: Ako zistiť, či bolo šifrovanie RC4 alebo šifrovanie AES prešlo?
A2: Aktualizované servery zapisovať do denníka udalosť 6425, keď sa použijú staršie metódy, ktoré používajú RC4.
3. otázka: Môžem na serveri vyžadovať šifrovanie AES a v budúcnosti bude Windows a programovo vynútiť pomocou AES?
A3: V súčasnosti nie je k dispozícii žiaden režim vynútenia. V budúcnosti sa však môže nachádzať, hoci žiadna takáto zmena nie je naplánovaná.
4. otázka: Podporuje klienti tretích strán ochranu CVE-2022-21913 pri vyjednaní AES, ak to server podporuje? Mám sa obrátiť na technickú podporu spoločnosti Microsoft alebo na tím podpory tretej strany, ktorý sa bude týkať tejto otázky?
A4: Ak zariadenie alebo aplikácia tretej strany nepoužíva protokol MS-LSAD, potom to nie je dôležité. Dodávatelia tretích strán, ktorí implementujú protokol MS-LSAD, sa môžu rozhodnúť implementovať tento protokol. Ďalšie informácie vám poskytne dodávateľ tretej strany.
5. otázka: Je potrebné vykonať nejaké ďalšie zmeny konfigurácie?
A5: Nie sú potrebné žiadne ďalšie zmeny konfigurácie.
6. otázka: Čo používa tento protokol?
A6: Protokol MS-LSAD používajú mnohé súčasti Windows vrátane služby Active Directory a nástrojov, ako sú napríklad domény služby Active Directory a konzola Trusts. Aplikácie môžu tento protokol používať aj prostredníctvom rozhraní API knižnice advapi32, ako sú napríklad LsaOpenPolicy alebo LsaCreateTrustedDomainEx.