Denník zmien
|
Zmena 1: 19. júna 2023:
|
V tomto článku
Zhrnutie
Aktualizácie Windowsu vydané 8. novembra 2022 alebo po ich skončení riešia obídenie zabezpečenia a zvýšenie zraniteľnosti oprávnenia pri vyjednávaní overovania pomocou slabého rokovania RC4-HMAC.
Táto aktualizácia nastaví AES ako predvolený typ šifrovania pre kľúče relácie v kontách, ktoré už nie sú označené predvoleným typom šifrovania.
Ak chcete zabezpečiť svoje prostredie, nainštalujte aktualizácie Windowsu vydané 8. novembra 2022 alebo po ich vydaní do všetkých zariadení vrátane radičov domény. Pozrite si tému Zmena 1.
Ďalšie informácie o týchto rizikách nájdete v téme CVE-2022-37966.
Zisťovanie explicitne nastavených typov šifrovania kľúča relácie
Možno ste explicitne definovali typy šifrovania v používateľských kontách, ktoré sú citlivé na CVE-2022-37966. Vyhľadajte kontá, v ktorých sú des/RC4 explicitne povolené, ale nie AES pomocou nasledujúceho dotazu služby Active Directory:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Nastavenie kľúča databázy Registry
Po inštalácii aktualizácií Windowsu, ktoré sú datované 8. novembra 2022 alebo po tomto dátume, je pre protokol Kerberos k dispozícii tento kľúč databázy Registry:
DefaultDomainSupportedEncTypes
|
Kľúč databázy Registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Hodnota |
DefaultDomainSupportedEncTypes |
|
Typ údajov |
REG_DWORD |
|
Hodnota údajov |
0x27 (predvolené) |
|
Vyžaduje sa reštartovanie? |
Nie |
Poznámka Ak musíte zmeniť predvolený podporovaný typ šifrovania pre používateľa alebo počítač služby Active Directory, manuálne pridajte a nakonfigurujte kľúč databázy Registry na nastavenie nového podporovaného typu šifrovania. Táto aktualizácia nepridáva kľúč databázy Registry automaticky.
Radiče domény systému Windows používajú túto hodnotu na určenie podporovaných typov šifrovania v kontách v službe Active Directory, ktorých hodnota msds-SupportedEncryptionType je prázdna alebo nie je nastavená. Počítač s podporovanou verziou operačného systému Windows automaticky nastaví typ msds-SupportedEncryptionTypes pre toto konto počítača v službe Active Directory. Vychádza z nakonfigurovanej hodnoty typov šifrovania, ktoré má protokol Kerberos povolené používať. Ďalšie informácie nájdete v téme Sieťové zabezpečenie: Konfigurácia typov šifrovania povolených pre protokol Kerberos.
Používateľské kontá, kontá spravovanej služby skupiny a iné kontá v službe Active Directory nemajú hodnotu msds-SupportedEncryptionTypes nastavenú automaticky.
Ak chcete vyhľadať podporované typy šifrovania, ktoré môžete nastaviť manuálne, pozrite si bitové príznaky podporovaných typov šifrovania. Ďalšie informácie nájdete v téme, čo by ste mali urobiť ako prvé, aby ste pomohli pripraviť prostredie a zabrániť problémom s overovaním protokolu Kerberos.
Predvolená hodnota 0x27 (DES, RC4, AES Session Keys) bola vybratá ako minimálna zmena potrebná pre túto aktualizáciu zabezpečenia. Odporúčame zákazníkom nastaviť hodnotu na 0x3C na zvýšenie zabezpečenia, pretože táto hodnota umožní žiadosti šifrované AES aj kľúče relácie AES. Ak zákazníci dodržiavali naše pokyny na prechod do prostredia určeného len pre AES, v ktorom sa RC4 nepoužíva pre protokol Kerberos, odporúčame, aby zákazníci nastavili hodnotu na 0x38. Pozrite si tému Zmena 1.
Udalosti Windowsu týkajúce sa CVE-2022-37966
V centre distribúcie kľúčov Kerberos chýbajú silné kľúče pre konto
|
Denník udalostí |
Systém |
|
Typ udalosti |
Chyba |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
42 |
|
Text udalosti |
V centre distribúcie kľúčov Kerberos chýbajú silné kľúče pre konto: accountname. Ak chcete zabrániť použitiu nezabezpečenej kryptografie, musíte aktualizovať heslo tohto konta. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2210019. |
Ak nájdete túto chybu, pravdepodobne bude potrebné obnoviť heslo krbtgt pred nastavením KrbtgtFullPacSingature = 3 alebo inštaláciou windowsu Aktualizácie vydaného 11. júla 2023 alebo po jeho vydaní. Aktualizácia, ktorá programovo umožňuje režim presadzovania pre CVE-2022-37967, je zdokumentovaná v nasledujúcom článku databázy Microsoft Knowledge Base:
KB5020805: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37967
Ďalšie informácie o tom, ako to urobiť, nájdete vNew-KrbtgtKeys.ps1 téme na webovej lokalite GitHub.
Najčastejšie otázky a známe problémy
Kontá, ktoré sú označené na explicitné používanie RC4, sú zraniteľné. Okrem toho prostredia, ktoré nemajú kľúče relácie AES v konte krbgt, môžu byť zraniteľné. Ak chcete tento problém zmierniť, postupujte podľa pokynov na identifikáciu zraniteľných miest a pomocou časti nastavenie kľúča databázy Registry aktualizujte explicitne nastavené predvolené hodnoty šifrovania.
Budete musieť overiť, či všetky zariadenia majú spoločný typ šifrovania Kerberos. Ďalšie informácie o typoch šifrovania Kerberos nájdete v téme Dešifrovanie výberu podporovaných typov šifrovania Kerberos.
Prostredia bez bežného typu šifrovania Kerberos mohli byť predtým funkčné z dôvodu automatického pridania RC4 alebo pridania AES, ak rc4 bolo zakázané prostredníctvom skupinovej politiky radičmi domény. Toto správanie sa zmenilo s aktualizáciami vydanými 8. novembra 2022 alebo po tomto dátume a bude prísne dodržiavať to, čo je nastavené v kľúčoch databázy Registry, typoch msds-SupportedEncryptionTypes a DefaultDomainSupportedEncTypes.
Ak konto nemá nastavenú hodnotu msds-SupportedEncryptionTypes alebo je nastavené na hodnotu 0, radiče domény predpokladajú predvolenú hodnotu 0x27 (39) alebo radič domény použije nastavenie v kľúči databázy Registry DefaultDomainSupportedEncTypes.
Ak má konto nastavené typy msds-SupportedEncryptionTypes , toto nastavenie je akceptované a môže odhaliť zlyhanie konfigurácie bežného typu šifrovania Kerberos maskovaného predchádzajúcim správaním automatického pridávania RC4 alebo AES, čo už nie je správanie po inštalácii aktualizácií vydaných 8. novembra 2022 alebo po tomto dátume.
Informácie o overení bežného typu šifrovania Kerberos nájdete v téme Otázka Ako môžem overiť, či všetky moje zariadenia majú spoločný typ šifrovania Kerberos?
V predchádzajúcej otázke nájdete ďalšie informácie o tom, prečo vaše zariadenia nemusia mať po inštalácii aktualizácií vydaných 8. novembra 2022 alebo po 8. novembri 2022 bežný typ šifrovania Kerberos.
Ak ste už nainštalovali aktualizácie vydané 8. novembra 2022 alebo po ňom, môžete zistiť zariadenia, ktoré nemajú spoločný typ šifrovania Kerberos, v denníku udalostí pre udalosť 27 v Centre udalostí Microsoft-Windows-Kerberos-Key-Distribution-Center, ktorá identifikuje nesúvislé typy šifrovania medzi klientmi Kerberos a vzdialenými servermi alebo službami.
Inštalácia aktualizácií vydaných 8. novembra 2022 na klientoch alebo serveroch s rolami iného radiča domény by nemala mať vplyv na overovanie kerberos vo vašom prostredí.
Na zmiernenie tohto známeho problému otvorte okno príkazového riadka ako správca a dočasne použite nasledujúci príkaz na nastavenie kľúča databázy Registry KrbtgtFullPacSignature na hodnotu 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Poznámka Po vyriešení tohto známeho problému by ste mali nastaviť krbtgtFullPacSignature na vyššie nastavenie v závislosti od toho, čo vaše prostredie umožní. Odporúčame, aby bol režim presadzovania povolený hneď, ako bude vaše prostredie pripravené.
Ďalšie krokyPracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní.
Po inštalácii aktualizácií vydaných 8. novembra 2022 alebo po ich skončení v radičoch domény musia všetky zariadenia podporovať podpisovanie žiadostí AES podľa potreby, aby boli v súlade so zabezpečením, ktoré sa vyžaduje pre CVE-2022-37967.
Ďalšie kroky Ak už používate najaktuálnejší softvér a firmvér pre zariadenia s windowsom a overili ste, že medzi radičmi domény windowsu a zariadeniami, ktoré nie sú windowsom, je k dispozícii bežný typ šifrovania, budete sa musieť obrátiť na výrobcu zariadenia (OEM) a požiadať ho o pomoc alebo nahradiť zariadenia kompatibilnými zariadeniami.
DÔLEŽITÉ Neodporúčame používať žiadne alternatívne riešenie, ktoré by povolilo overenie nevyhovujúcich zariadení, pretože by to mohlo ohroziť vaše prostredie.
Nepodporované verzie systému Windows zahŕňajú Windows XP, Windows Server 2003, Windows Server 2008 SP2 a Windows Server 2008 R2 SP1, ktoré nie sú prístupné v aktualizovaných zariadeniach s Windowsom, pokiaľ nemáte licenciu ESU. Ak máte licenciu ESU, budete musieť nainštalovať aktualizácie vydané 8. novembra 2022 alebo po ich skončení a overiť, či konfigurácia má spoločný typ šifrovania dostupný vo všetkých zariadeniach.
Ďalšie kroky Nainštalujte aktualizácie, ak sú k dispozícii pre vašu verziu Windowsu a máte príslušnú licenciu ESU. Ak aktualizácie nie sú k dispozícii, budete musieť inovovať na podporovanú verziu Windowsu alebo premiestniť ľubovoľnú aplikáciu alebo službu do kompatibilného zariadenia.
DÔLEŽITÉ Neodporúčame používať žiadne alternatívne riešenie, ktoré by povolilo overenie nevyhovujúcich zariadení, pretože by to mohlo ohroziť vaše prostredie.
Tento známy problém bol vyriešený v neviazaných aktualizáciách vydaných 17. novembra 2022 a 18. novembra 2022 na inštaláciu do všetkých radičov domén vo vašom prostredí. Na vyriešenie tohto problému nie je potrebné inštalovať žiadnu aktualizáciu ani vykonávať žiadne zmeny na iných serveroch alebo klientskych zariadeniach vo svojom prostredí. Ak ste pre tento problém použili nejaké alternatívne riešenie alebo zmiernenia, už nie sú potrebné a odporúčame ich odstrániť.
Ak chcete získať samostatný balík pre tieto mimopásmové aktualizácie, vyhľadajte číslo KB v katalógu microsoft update. Tieto aktualizácie môžete manuálne importovať do služieb Windows Server Update Services (WSUS) a Microsoft Endpoint Configuration Manager. Pokyny pre WSUS nájdete v časti WSUS a lokalita katalógu. Pokyny pre správcu konfigurácie nájdete v téme Import aktualizácií z katalógu služby Microsoft Update.
Poznámka Nasledujúce aktualizácie nie sú k dispozícii v Windows Update a nenainštalujú sa automaticky.
Kumulatívne aktualizácie:
Poznámka Pred inštaláciou týchto kumulatívnych aktualizácií nie je potrebné použiť žiadnu predchádzajúcu aktualizáciu. Ak ste už nainštalovali aktualizácie vydané 8. novembra 2022, pred inštaláciou akýchkoľvek novších aktualizácií vrátane aktualizácií uvedených vyššie nemusíte odinštalovať príslušné aktualizácie.
Samostatné Aktualizácie:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (vydané 18. novembra 2022)
-
Windows Server 2008 SP2: KB5021657
Poznámky
-
Ak používate aktualizácie zabezpečenia iba pre tieto verzie Windows Servera, stačí nainštalovať tieto samostatné aktualizácie za mesiac november 2022. Aktualizácie iba so zabezpečením nie sú kumulatívne a budete tiež musieť nainštalovať všetky predchádzajúce aktualizácie zabezpečenia, aby ste boli plne aktuálni. Mesačné aktualizácie súhrnu sú kumulatívne a zahŕňajú aktualizácie zabezpečenia a všetky kvalitatívne aktualizácie.
-
Ak používate mesačné aktualizácie súhrnu, budete musieť nainštalovať samostatné aktualizácie uvedené vyššie, aby ste tento problém vyriešili, a nainštalovať mesačné súhrny vydané 8. novembra 2022, aby ste získali kvalitatívne aktualizácie na november 2022. Ak ste už nainštalovali aktualizácie vydané 8. novembra 2022, pred inštaláciou akýchkoľvek novších aktualizácií vrátane aktualizácií uvedených vyššie nemusíte odinštalovať príslušné aktualizácie.
Ak ste overili konfiguráciu svojho prostredia a stále sa vyskytujú problémy s implementáciou protokolu Kerberos, ktorá nie je od spoločnosti Microsoft, budete potrebovať aktualizácie alebo podporu od vývojára alebo výrobcu aplikácie alebo zariadenia.
Tento známy problém možno zmierniť vykonaním niektorého z týchto krokov:
-
Nastavte typy msds-SupportedEncryptionType s bitovým operátorom alebo ju nastavte na aktuálnu predvolenú 0x27 , aby sa zachovala aktuálna hodnota. Príklad:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Nastavte msds-SupportEncryptionTypes na hodnotu 0 , aby radiče domény mohli používať predvolenú hodnotu 0x27.
Ďalšie krokyPracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní.
Slovník
Advanced Encryption Standard (AES) je bloková šifra, ktorá nahrádza štandard DES (Data Encryption Standard). AES možno použiť na ochranu elektronických údajov. Algoritmus AES možno použiť na šifrovanie (šifrovanie) a dešifrovanie (dešifrovanie) informácií. Šifrovanie skonvertuje údaje na nezrozumiteľnú formu nazývanú šifrovací text. dešifrovaním šifrovacieho textu sa údaje skonvertujú späť do pôvodnej podoby nazývanej obyčajný text. AES sa používa v kryptografii symetrickým kľúčom, čo znamená, že rovnaký kľúč sa používa na operácie šifrovania a dešifrovania. To je tiež blok šifra, čo znamená, že pracuje na pevnej veľkosti-bloky obyčajný text a šifrovacie písmo, a vyžaduje veľkosť obyčajného textu, rovnako ako šifrovaný text byť presný násobok tejto veľkosti bloku. AES je tiež známy ako Rijndael symetrický šifrovací algoritmus [FIPS197].
Protokol Kerberos je protokol overenia počítačovej siete, ktorý funguje na základe žiadostí, aby uzly oznamujúce prostredníctvom siete mohli bezpečne preukázať svoju identitu.
Služba Kerberos, ktorá implementuje služby overovania a poskytovania lístkov zadané v protokole Kerberos. Služba sa spúšťa na počítačoch vybratých správcom oblasti alebo domény. nie je prítomný na každom počítači v sieti. Musí mať prístup k databáze konta pre oblasť, ktorá slúži. KDCs sú integrované do roly radiča domény. Ide o sieťovú službu, ktorá klientom poskytuje lístky na použitie pri overovaní služieb.
RC4-HMAC (RC4) je symetrický šifrovací algoritmus s variabilnou dĺžkou kľúča. Ďalšie informácie nájdete v časti [SCHNEIER] 17.1.
Relatívne krátky symetrický kľúč (kryptografický kľúč vyjednaný klientom a serverom založeným na zdieľanom tajomstve). Životný cyklus kľúčov relácie je ohraničený reláciou, ku ktorej je priradený. Kľúč relácie musí byť dostatočne silný, aby odolal kryptoanalýze počas životného cyklu relácie.
Špeciálny typ lístka, ktorý možno použiť na získanie iných vstupeniek. Lístok na udelenie tiketu (TGT) sa získa po počiatočnom overení vo výmene overovacích služieb (AS). potom používatelia nemusia predložiť svoje poverenia, ale môžu použiť TGT na získanie následných žiadostí.
