Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Denník zmien

Zmena 1: 19. júna 2023:

  • Objasnil vetu začína "Ak chcete pomôcť zabezpečiť ..." v časti Súhrn.

  • Ďalšie informácie sa pridali do poznámky v nastavení kľúča Databázy Registry DefaultDomainSupportedEncTypes.

V tomto článku

Zhrnutie

Aktualizácie Windowsu vydané 8. novembra 2022 alebo po ich skončení riešia obídenie zabezpečenia a zvýšenie zraniteľnosti oprávnenia pri vyjednávaní overovania pomocou slabého rokovania RC4-HMAC.

Táto aktualizácia nastaví AES ako predvolený typ šifrovania pre kľúče relácie v kontách, ktoré už nie sú označené predvoleným typom šifrovania. 

Ak chcete zabezpečiť svoje prostredie, nainštalujte aktualizácie Windowsu vydané 8. novembra 2022 alebo po ich vydaní do všetkých zariadení vrátane radičov domény. Pozrite si tému Zmena 1.

Ďalšie informácie o týchto rizikách nájdete v téme CVE-2022-37966.

Zisťovanie explicitne nastavených typov šifrovania kľúča relácie

Možno ste explicitne definovali typy šifrovania v používateľských kontách, ktoré sú citlivé na CVE-2022-37966. Vyhľadajte kontá, v ktorých sú des/RC4 explicitne povolené, ale nie AES pomocou nasledujúceho dotazu služby Active Directory:

  • Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Nastavenie kľúča databázy Registry

Po inštalácii aktualizácií Windowsu, ktoré sú datované 8. novembra 2022 alebo po tomto dátume, je pre protokol Kerberos k dispozícii tento kľúč databázy Registry:

DefaultDomainSupportedEncTypes

Kľúč databázy Registry

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC

Hodnota

DefaultDomainSupportedEncTypes

Typ údajov

REG_DWORD

Hodnota údajov

0x27 (predvolené)

Vyžaduje sa reštartovanie?

Nie

Poznámka Ak musíte zmeniť predvolený podporovaný typ šifrovania pre používateľa alebo počítač služby Active Directory, manuálne pridajte a nakonfigurujte kľúč databázy Registry na nastavenie nového podporovaného typu šifrovania.  Táto aktualizácia nepridáva kľúč databázy Registry automaticky.

Radiče domény systému Windows používajú túto hodnotu na určenie podporovaných typov šifrovania v kontách v službe Active Directory, ktorých hodnota msds-SupportedEncryptionType je prázdna alebo nie je nastavená. Počítač s podporovanou verziou operačného systému Windows automaticky nastaví typ msds-SupportedEncryptionTypes pre toto konto počítača v službe Active Directory. Vychádza z nakonfigurovanej hodnoty typov šifrovania, ktoré má protokol Kerberos povolené používať. Ďalšie informácie nájdete v téme Sieťové zabezpečenie: Konfigurácia typov šifrovania povolených pre protokol Kerberos.

Používateľské kontá, kontá spravovanej služby skupiny a iné kontá v službe Active Directory nemajú hodnotu msds-SupportedEncryptionTypes nastavenú automaticky. 

Ak chcete vyhľadať podporované typy šifrovania, ktoré môžete nastaviť manuálne, pozrite si bitové príznaky podporovaných typov šifrovania. Ďalšie informácie nájdete v téme, čo by ste mali urobiť ako prvé, aby ste pomohli pripraviť prostredie a zabrániť problémom s overovaním protokolu Kerberos.

Predvolená hodnota 0x27 (DES, RC4, AES Session Keys) bola vybratá ako minimálna zmena potrebná pre túto aktualizáciu zabezpečenia. Odporúčame zákazníkom nastaviť hodnotu na 0x3C na zvýšenie zabezpečenia, pretože táto hodnota umožní žiadosti šifrované AES aj kľúče relácie AES. Ak zákazníci dodržiavali naše pokyny na prechod do prostredia určeného len pre AES, v ktorom sa RC4 nepoužíva pre protokol Kerberos, odporúčame, aby zákazníci nastavili hodnotu na 0x38. Pozrite si tému Zmena 1.

Udalosti Windowsu týkajúce sa CVE-2022-37966

V centre distribúcie kľúčov Kerberos chýbajú silné kľúče pre konto

Denník udalostí

Systém

Typ udalosti

Chyba

Zdroj udalosti

Kdcsvc

Identifikačné číslo udalosti

42

Text udalosti

V centre distribúcie kľúčov Kerberos chýbajú silné kľúče pre konto: accountname. Ak chcete zabrániť použitiu nezabezpečenej kryptografie, musíte aktualizovať heslo tohto konta. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2210019.

Ak nájdete túto chybu, pravdepodobne bude potrebné obnoviť heslo krbtgt pred nastavením KrbtgtFullPacSingature = 3 alebo inštaláciou windowsu Aktualizácie vydaného 11. júla 2023 alebo po jeho vydaní. Aktualizácia, ktorá programovo umožňuje režim presadzovania pre CVE-2022-37967, je zdokumentovaná v nasledujúcom článku databázy Microsoft Knowledge Base:

KB5020805: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37967

Ďalšie informácie o tom, ako to urobiť, nájdete vNew-KrbtgtKeys.ps1 téme na webovej lokalite GitHub.

Najčastejšie otázky a známe problémy

Kontá, ktoré sú označené na explicitné používanie RC4, sú zraniteľné. Okrem toho prostredia, ktoré nemajú kľúče relácie AES v konte krbgt, môžu byť zraniteľné. Ak chcete tento problém zmierniť, postupujte podľa pokynov na identifikáciu zraniteľných miest a pomocou časti nastavenie kľúča databázy Registry aktualizujte explicitne nastavené predvolené hodnoty šifrovania.

Budete musieť overiť, či všetky zariadenia majú spoločný typ šifrovania Kerberos.  Ďalšie informácie o typoch šifrovania Kerberos nájdete v téme Dešifrovanie výberu podporovaných typov šifrovania Kerberos.

Prostredia bez bežného typu šifrovania Kerberos mohli byť predtým funkčné z dôvodu automatického pridania RC4 alebo pridania AES, ak rc4 bolo zakázané prostredníctvom skupinovej politiky radičmi domény. Toto správanie sa zmenilo s aktualizáciami vydanými 8. novembra 2022 alebo po tomto dátume a bude prísne dodržiavať to, čo je nastavené v kľúčoch databázy Registry, typoch msds-SupportedEncryptionTypes a DefaultDomainSupportedEncTypes

Ak konto nemá nastavenú hodnotu msds-SupportedEncryptionTypes alebo je nastavené na hodnotu 0, radiče domény predpokladajú predvolenú hodnotu 0x27 (39) alebo radič domény použije nastavenie v kľúči databázy Registry DefaultDomainSupportedEncTypes.

Ak má konto nastavené typy msds-SupportedEncryptionTypes , toto nastavenie je akceptované a môže odhaliť zlyhanie konfigurácie bežného typu šifrovania Kerberos maskovaného predchádzajúcim správaním automatického pridávania RC4 alebo AES, čo už nie je správanie po inštalácii aktualizácií vydaných 8. novembra 2022 alebo po tomto dátume.

Informácie o overení bežného typu šifrovania Kerberos nájdete v téme Otázka Ako môžem overiť, či všetky moje zariadenia majú spoločný typ šifrovania Kerberos?

V predchádzajúcej otázke nájdete ďalšie informácie o tom, prečo vaše zariadenia nemusia mať po inštalácii aktualizácií vydaných 8. novembra 2022 alebo po 8. novembri 2022 bežný typ šifrovania Kerberos.

Ak ste už nainštalovali aktualizácie vydané 8. novembra 2022 alebo po ňom, môžete zistiť zariadenia, ktoré nemajú spoločný typ šifrovania Kerberos, v denníku udalostí pre udalosť 27 v Centre udalostí Microsoft-Windows-Kerberos-Key-Distribution-Center, ktorá identifikuje nesúvislé typy šifrovania medzi klientmi Kerberos a vzdialenými servermi alebo službami.

Inštalácia aktualizácií vydaných 8. novembra 2022 na klientoch alebo serveroch s rolami iného radiča domény by nemala mať vplyv na overovanie kerberos vo vašom prostredí.

Na zmiernenie tohto známeho problému otvorte okno príkazového riadka ako správca a dočasne použite nasledujúci príkaz na nastavenie kľúča databázy Registry KrbtgtFullPacSignature na hodnotu 0:

  • reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
    

Poznámka Po vyriešení tohto známeho problému by ste mali nastaviť krbtgtFullPacSignature na vyššie nastavenie v závislosti od toho, čo vaše prostredie umožní. Odporúčame, aby bol režim presadzovania povolený hneď, ako bude vaše prostredie pripravené.

Ďalšie krokyPracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní.

Po inštalácii aktualizácií vydaných 8. novembra 2022 alebo po ich skončení v radičoch domény musia všetky zariadenia podporovať podpisovanie žiadostí AES podľa potreby, aby boli v súlade so zabezpečením, ktoré sa vyžaduje pre CVE-2022-37967.

Ďalšie kroky Ak už používate najaktuálnejší softvér a firmvér pre zariadenia s windowsom a overili ste, že medzi radičmi domény windowsu a zariadeniami, ktoré nie sú windowsom, je k dispozícii bežný typ šifrovania, budete sa musieť obrátiť na výrobcu zariadenia (OEM) a požiadať ho o pomoc alebo nahradiť zariadenia kompatibilnými zariadeniami. 

DÔLEŽITÉ Neodporúčame používať žiadne alternatívne riešenie, ktoré by povolilo overenie nevyhovujúcich zariadení, pretože by to mohlo ohroziť vaše prostredie.

Nepodporované verzie systému Windows zahŕňajú Windows XP, Windows Server 2003, Windows Server 2008 SP2 a Windows Server 2008 R2 SP1, ktoré nie sú prístupné v aktualizovaných zariadeniach s Windowsom, pokiaľ nemáte licenciu ESU. Ak máte licenciu ESU, budete musieť nainštalovať aktualizácie vydané 8. novembra 2022 alebo po ich skončení a overiť, či konfigurácia má spoločný typ šifrovania dostupný vo všetkých zariadeniach.

Ďalšie kroky Nainštalujte aktualizácie, ak sú k dispozícii pre vašu verziu Windowsu a máte príslušnú licenciu ESU. Ak aktualizácie nie sú k dispozícii, budete musieť inovovať na podporovanú verziu Windowsu alebo premiestniť ľubovoľnú aplikáciu alebo službu do kompatibilného zariadenia.

DÔLEŽITÉ Neodporúčame používať žiadne alternatívne riešenie, ktoré by povolilo overenie nevyhovujúcich zariadení, pretože by to mohlo ohroziť vaše prostredie.

Tento známy problém bol vyriešený v neviazaných aktualizáciách vydaných 17. novembra 2022 a 18. novembra 2022 na inštaláciu do všetkých radičov domén vo vašom prostredí. Na vyriešenie tohto problému nie je potrebné inštalovať žiadnu aktualizáciu ani vykonávať žiadne zmeny na iných serveroch alebo klientskych zariadeniach vo svojom prostredí. Ak ste pre tento problém použili nejaké alternatívne riešenie alebo zmiernenia, už nie sú potrebné a odporúčame ich odstrániť.

Ak chcete získať samostatný balík pre tieto mimopásmové aktualizácie, vyhľadajte číslo KB v katalógu microsoft update. Tieto aktualizácie môžete manuálne importovať do služieb Windows Server Update Services (WSUS) a Microsoft Endpoint Configuration Manager. Pokyny pre WSUS nájdete v časti WSUS a lokalita katalógu. Pokyny pre správcu konfigurácie nájdete v téme Import aktualizácií z katalógu služby Microsoft Update

Poznámka Nasledujúce aktualizácie nie sú k dispozícii v Windows Update a nenainštalujú sa automaticky.

Kumulatívne aktualizácie:

Poznámka Pred inštaláciou týchto kumulatívnych aktualizácií nie je potrebné použiť žiadnu predchádzajúcu aktualizáciu. Ak ste už nainštalovali aktualizácie vydané 8. novembra 2022, pred inštaláciou akýchkoľvek novších aktualizácií vrátane aktualizácií uvedených vyššie nemusíte odinštalovať príslušné aktualizácie.

Samostatné Aktualizácie:

Poznámky 

  • Ak používate aktualizácie zabezpečenia iba pre tieto verzie Windows Servera, stačí nainštalovať tieto samostatné aktualizácie za mesiac november 2022. Aktualizácie iba so zabezpečením nie sú kumulatívne a budete tiež musieť nainštalovať všetky predchádzajúce aktualizácie zabezpečenia, aby ste boli plne aktuálni. Mesačné aktualizácie súhrnu sú kumulatívne a zahŕňajú aktualizácie zabezpečenia a všetky kvalitatívne aktualizácie.

  • Ak používate mesačné aktualizácie súhrnu, budete musieť nainštalovať samostatné aktualizácie uvedené vyššie, aby ste tento problém vyriešili, a nainštalovať mesačné súhrny vydané 8. novembra 2022, aby ste získali kvalitatívne aktualizácie na november 2022. Ak ste už nainštalovali aktualizácie vydané 8. novembra 2022, pred inštaláciou akýchkoľvek novších aktualizácií vrátane aktualizácií uvedených vyššie nemusíte odinštalovať príslušné aktualizácie.

Ak ste overili konfiguráciu svojho prostredia a stále sa vyskytujú problémy s implementáciou protokolu Kerberos, ktorá nie je od spoločnosti Microsoft, budete potrebovať aktualizácie alebo podporu od vývojára alebo výrobcu aplikácie alebo zariadenia.

Tento známy problém možno zmierniť vykonaním niektorého z týchto krokov:

  • Nastavte typy msds-SupportedEncryptionType s bitovým operátorom alebo ju nastavte na aktuálnu predvolenú 0x27 , aby sa zachovala aktuálna hodnota. Príklad:

    • Msds-SuportedEncryptionTypes -bor 0x27
  • Nastavte msds-SupportEncryptionTypes na hodnotu 0 , aby radiče domény mohli používať predvolenú hodnotu 0x27.

Ďalšie krokyPracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní.

Slovník

Advanced Encryption Standard (AES) je bloková šifra, ktorá nahrádza štandard DES (Data Encryption Standard). AES možno použiť na ochranu elektronických údajov. Algoritmus AES možno použiť na šifrovanie (šifrovanie) a dešifrovanie (dešifrovanie) informácií. Šifrovanie skonvertuje údaje na nezrozumiteľnú formu nazývanú šifrovací text. dešifrovaním šifrovacieho textu sa údaje skonvertujú späť do pôvodnej podoby nazývanej obyčajný text. AES sa používa v kryptografii symetrickým kľúčom, čo znamená, že rovnaký kľúč sa používa na operácie šifrovania a dešifrovania. To je tiež blok šifra, čo znamená, že pracuje na pevnej veľkosti-bloky obyčajný text a šifrovacie písmo, a vyžaduje veľkosť obyčajného textu, rovnako ako šifrovaný text byť presný násobok tejto veľkosti bloku. AES je tiež známy ako Rijndael symetrický šifrovací algoritmus [FIPS197].

Protokol Kerberos je protokol overenia počítačovej siete, ktorý funguje na základe žiadostí, aby uzly oznamujúce prostredníctvom siete mohli bezpečne preukázať svoju identitu.

Služba Kerberos, ktorá implementuje služby overovania a poskytovania lístkov zadané v protokole Kerberos. Služba sa spúšťa na počítačoch vybratých správcom oblasti alebo domény. nie je prítomný na každom počítači v sieti. Musí mať prístup k databáze konta pre oblasť, ktorá slúži. KDCs sú integrované do roly radiča domény. Ide o sieťovú službu, ktorá klientom poskytuje lístky na použitie pri overovaní služieb.

RC4-HMAC (RC4) je symetrický šifrovací algoritmus s variabilnou dĺžkou kľúča. Ďalšie informácie nájdete v časti [SCHNEIER] 17.1.

Relatívne krátky symetrický kľúč (kryptografický kľúč vyjednaný klientom a serverom založeným na zdieľanom tajomstve). Životný cyklus kľúčov relácie je ohraničený reláciou, ku ktorej je priradený. Kľúč relácie musí byť dostatočne silný, aby odolal kryptoanalýze počas životného cyklu relácie.

Špeciálny typ lístka, ktorý možno použiť na získanie iných vstupeniek. Lístok na udelenie tiketu (TGT) sa získa po počiatočnom overení vo výmene overovacích služieb (AS). potom používatelia nemusia predložiť svoje poverenia, ale môžu použiť TGT na získanie následných žiadostí.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.