Velja za
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Datum izvirne objave: 9. april 2024

ID zbirke znanja: 5037754

Podpora za sistem Windows 10 se konča oktobra 2025

Po 14. oktobru 2025 Microsoft ne bo več zagotavljal brezplačnih posodobitev programske opreme iz storitve Windows Update, tehnične pomoči ali varnostnih popravkov za operacijski sistem Windows 10. Vaš računalnik bo še vedno deloval, vendar vam priporočamo prehod na sistem Windows 11.

Več informacij

Spremeni datum

Opis

9. januar 2025

V razdelku »Januar 2025: Privzeto uveljavljeno« vrazdelku »Časovnica sprememb« je poudarjeno, da obstoječe nastavitve registrskega ključa preglasijo privzeto vedenje posodobitev, izdanih januarja 2025 ali po tem.

1. oktober 2024

Spremenili smo privzeto fazo iz oktobra 2024 v januar 2025.

Povzetek

Varnostne posodobitve sistema Windows, izdane 9. aprila 2024 ali po njih, odpravljajo ranljivosti zaradi prisvojitev pravic s protokolom Kerberos PAC Validation Protocol. Potrdilo o atributu pravic (PAC) je razširitev za vstopnice storitve Kerberos. Vsebuje informacije o uporabniku s preverjeno pristnostjo in njihovih pravicah. Ta posodobitev odpravi ranljivost, zaradi kateri lahko uporabnik postopka zakrije podpis, da obide preverjanja veljavnosti podpisa PAC, ki so bila dodana v programu KB5020805: Upravljanje sprememb protokola Kerberos, povezanih s CVE-2022-37967.

Poleg tega ta posodobitev odpravlja ranljivost v nekaterih navzkrižnih scenarijih. Če želite izvedeti več o teh ranljivostih, obiščite CVE-2024-26248 in CVE-2024-29056.

Ukrepajte

POMEMBEN1. korak za namestitev posodobitve, izdane 9. aprila 2024 ali po tem, ne bo v celoti odpravil varnostnih težav v CVE-2024-26248 in CVE-2024-29056 . Če želite v celoti ublažiti varnostno težavo za vse naprave, morate po popolni nadgradnji okolja premakniti v način vsilite (opisan v 3. koraku).

Če želite zaščititi svoje okolje in preprečiti izpade, priporočamo te korake:

  1. POSODOBITEV: Krmilniki domene in odjemalci sistema Windows morajo biti posodobljeni z varnostno posodobitvijo sistema Windows, izdano 9. aprila 2024 ali po tem.

  2. MONITOR: Dogodki nadzora bodo v združljivostnem načinu vidni za prepoznavanje naprav, ki niso posodobljene.

  3. OMOGOČITI: Ko je način uveljavljanja v celoti omogočen v vašem okolju, se bodo ranljivosti, opisane v CVE-2024-26248 in CVE-2024-29056 , ublažili.

Ozadje

Ko delovna postaja Sistema Windows izvede preverjanje veljavnosti PAC v dohodnem toku preverjanja pristnosti Kerberos, izvede novo zahtevo (Network Ticket Logon) za preverjanje veljavnosti naročila storitve. Zahteva je najprej posredovana krmilniku domene (DC) domene Workstations prek storitve Netlogon.

Če račun storitve in račun računalnika pripadata različnim domenam, se zahteva izvede v vseh potrebnih zaupanih prek Netlogon, dokler ne doseže domene storitev; v nasprotnem primeru dc v domeni računov računalnikov izvede preverjanje veljavnosti. DC nato pokliče središče za distribucijo ključa (KDC), da preveri veljavnost podpisov PAC naročila storitve ter pošlje podatke o uporabniku in napravi nazaj v delovno postajo.

Če sta zahteva in odgovor posredovana prek zaupanja (v primeru, ko račun storitve in službena postaja pripadata različni domeni), vsak KRMILNIK domene filtrira podatke za preverjanje veljavnosti, ki se nanašajo nanj.

Časovnica sprememb

Posodobitve so izdane, kot je opisano v nadaljevanju. Upoštevajte, da bo ta razpored izdaje morda po potrebi spremenjen.

Faza začetne uvedbe se začne s posodobitvami, izdanimi 9. aprila 2024. Ta posodobitev doda novo vedenje, ki preprečuje prisvojitev ranljivosti pravic, opisane v CVE-2024-26248 in CVE-2024-29056 , vendar jih ne vsili, razen če so posodobljeni tako krmilniki domene sistema Windows kot tudi odjemalci sistema Windows v okolju.

Če želite omogočiti novo delovanje in ublažiti ranljivosti, morate zagotoviti, da je posodobljeno celotno okolje sistema Windows (vključno s krmilniki domene in odjemalci). Dogodki nadzora bodo zabeleženi v dnevnik, da bodo lažje prepoznali naprave, ki niso posodobljene.

Posodobitve izdan v ali po januarju 2025, se bodo vsi krmilniki domene in odjemalci sistema Windows v okolju premaknili v način Vsili. Ta način bo privzeto vsilil varno vedenje. Obstoječe nastavitve registrskega ključa, ki so bile predhodno nastavljene, preglasijo to privzeto spremembo vedenja.

Privzete nastavitve vsiljenega načina lahko preglasi skrbnik, da se povrnejo v združljivostni način.

Varnostne posodobitve sistema Windows, izdane aprila 2025 ali pozneje, bodo odstranile podporo za registrske podključe PacSignatureValidationLevel in CrossDomainFilteringLevel ter uveljavili novo varno delovanje. Po namestitvi posodobitve iz aprila 2025 podpora za združljivostni način ne bo na voljo.

Morebitne težave in ublažitve posledic

Pojavijo se lahko morebitne težave, vključno s preverjanjem veljavnosti PAC in napakami filtriranja navzkrižnega gozda. 9. aprila 2024 varnostna posodobitev vključuje nadomestno logiko in nastavitve registra za pomoč pri ublažitvi teh težav

Nastavitve registra

Ta varnostna posodobitev je na voljo za naprave s sistemom Windows (vključno s krmilniki domene). Te registrske ključe, ki nadzorujejo delovanje, je treba uvesti le v strežnik Kerberos, ki sprejema preverjanje pristnosti Kerberos in izvaja preverjanje veljavnosti PAC.

Registrski podključ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Value (Vrednost)

PacSignatureValidationLevel

Vrsta podatkov

REG_DWORD

Podatki

2

Privzeto (združljivost z neujemajo se okoljem)

3

Uveljavljanje

Ali je vnovični zagon obvezen?

Ne

Registrski podključ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Value (Vrednost)

CrossDomainFilteringLevel

Vrsta podatkov

REG_DWORD

Podatki

2

Privzeto (združljivost z neujemajo se okoljem)

4

Uveljavljanje

Ali je vnovični zagon obvezen?

Ne

Ta registrski ključ je mogoče uvesti tako v strežnike sistema Windows, ki sprejemajo preverjanje pristnosti dohodnega kerberosa, kot tudi za kateri koli krmilnik domene sistema Windows, ki med potjo veljavni nov tok za prijavo omrežne vstopnice.

Registrski podključ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Value (Vrednost)

AuditKerberosTicketLogonEvents

Vrsta podatkov

REG_DWORD

Podatki

1

Privzeto – zabeleži kritične dogodke

2

Log All Netlogon Events

0

Ne beleži dogodkov na Netlogonu

Ali je vnovični zagon obvezen?

Ne

Dnevniki dogodkov

Naslednji dogodki nadzora Kerberos bodo ustvarjeni v strežniku Kerberos, ki sprejema preverjanje pristnosti Dohodni Kerberos. Ta strežnik Kerberos bo delal PAC Validation, ki uporablja novo Network Ticket Logon Flow.

Dnevnik dogodkov

Sistem

Vrsta dogodka

Informativne

Vir dogodka

Security-Kerberos

ID dogodka

21

Besedilo dogodka

Med prijavo v kerberos network ticket je vstopnica storitve za račun <Račun> iz domene <domain> opravila krmilnika domene dc <naredil>. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2262558.<z>

Ta dogodek se prikaže, ko je krmilnik domene med tokom prijave na omrežno vstopnico opravil nesmrto dejanje. Trenutno so zabeležena ta dejanja:

  • Uporabniški SID-ji so bili filtrirani.

  • Id-ji SID-jev naprav so bili filtrirani.

  • Sestavljena identiteta je bila odstranjena zaradi onemogočanja filtriranja SID-a identitete naprave.

  • Sestavljena identiteta je bila odstranjena, ker filtriranje SID onemogoča ime domene naprave.

Dnevnik dogodkov

Sistem

Vrsta dogodka

Napaka

Vir dogodka

Security-Kerberos

ID dogodka

22

Besedilo dogodka

Med Kerberos Network Ticket Logon je naročilo storitve za račun <Account> from Domain <Domain> zavrnil dc <DC> zaradi spodaj navedenih razlogov. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2262558.Razlog: <razlog> Koda napake: <napake>

Ta dogodek se prikaže, ko krmilnik domene zavrne zahtevo za prijavo v omrežno vstopnico iz razlogov, prikazanih v dogodku. ​​​​​​

Dnevnik dogodkov

Sistem

Vrsta dogodka

Opozorilo ali napaka

Vir dogodka

Security-Kerberos

ID dogodka

23

Besedilo dogodka

Med prijavo v kerberos network ticket ni bilo mogoče <account_name> vstopnice za račun iz domene <domain_name> ni bilo mogoče posredovati v krmilnik domene za popravilo zahteve. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2262558.

  • Ta dogodek je prikazan kot opozorilo, če PacSignatureValidationLevel AND CrossDomainFilteringLevel niso nastavljeni na Vsili ali strožje. Ko je dogodek zabeležen kot opozorilo, pomeni, da je prijava omrežne vstopnice pretočena v stik s krmilnikom domene ali enakovredno napravo, ki ni razumela novega mehanizma. Preverjanje pristnosti je bilo dovoljeno, da se ne odzove na prejšnje vedenje.

  • Ta dogodek je prikazan kot napaka, če je PacSignatureValidationLevel OR CrossDomainFilteringLevel nastavljen na Vsili ali strožje. Ta dogodek kot »napaka« pomeni, da je tok prijave omrežne vozovnice stik s krmilnikom domene ali enakovredno napravo, ki ni razumela novega mehanizma. Preverjanje pristnosti je bilo zavrnjeno in ni bilo mogoče zanikati prejšnjega delovanja.

Dnevnik dogodkov

Sistem

Vrsta dogodka

Napaka

Vir dogodka

Netlogon

ID dogodka

5842

Besedilo dogodka

Pri storitvi Netlogon je prišlo do nepričakovane napake pri obdelavi zahteve za prijavo v storitev Kerberos Network Ticket. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2261497.

Račun za vstopnico za storitev: <račun>

Domena naročila storitve: <domena>

Ime delovne postaje: <ime>

Stanje: <kode>

Ta dogodek se ustvari vedno, ko je Netlogon naletel na nepričakovano napako med zahtevo za prijavo v omrežno vstopnico. Ta dogodek je zabeležen, ko je auditKerberosTicketLogonEvents nastavljen na (1) ali višjo.

Dnevnik dogodkov

Sistem

Vrsta dogodka

Opozorilo

Vir dogodka

Netlogon

ID dogodka

5843

Besedilo dogodka

Storitev Netlogon ni posredovala zahteve Kerberos Network Ticket Logon v krmilnik domene, <krmilnik domene>. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2261497.

Račun za vstopnico za storitev: <račun>

Domena naročila storitve: <domena>

Ime delovne postaje: <ime>

Ta dogodek se ustvari, kadar Netlogon ni mogel dokončati prijave omrežne vstopnice, ker krmilnik domene ni razumel sprememb. Zaradi omejitev v protokolu Netlogon odjemalec Netlogon ne more ugotoviti, ali je krmilnik domene, s katerega neposredno govori odjemalec Netlogon, tisti, ki ne razume sprememb, ali pa gre za krmilnik domene vzdolž verige za posredovanje, ki ne razume sprememb.

  • Če je domena naročila storitve enaka kot domena računa računalnika, krmilnik domene v dnevniku dogodkov verjetno ne razume toka prijave Network Ticket.

  • Če se domena naročila storitve razlikuje od domene računa računalnika, eden od krmilnikov domene na poti od domene računa računalnika do domene storitvenega računa ni razumel toka za prijavo omrežne vstopnice

Ta dogodek je privzeto izklopljen. Microsoft priporoča, da uporabniki pred vklopom dogodka najprej posodobijo celotno floto.

Ta dogodek je zabeležen, ko je auditKerberosTicketLogonEvents nastavljen na (2).

Pogosta vprašanja (FAQ)

Krmilnik domene, ki ni posodobljen, ne prepozna te nove strukture zahteve. To bo povzročilo neuspešno varnostno preverjanje. V združljivostnem načinu bo uporabljena stara struktura zahteve. Ta scenarij je še vedno ranljiv za CVE-2024-26248 in CVE-2024-29056.

Da. To je zato, ker mora biti novi tok za prijavo v omrežno vstopnico preusmerjen v domenah, da doseže domeno računa storitve.

Preverjanje veljavnosti PAC je lahko preskočeno v določenih okoliščinah, vključno s temi scenariji, vendar ne omejeno na to:

  • Če ima storitev pravico TCB. Na splošno imajo storitve, ki se izvajajo v kontekstu računa SYSTEM (na primer datotečno skupno rabo SMB ali strežniki LDAP), to pravico.

  • Če storitev zaženete v razporejevalniku opravil.

Sicer se preverjanje veljavnosti PAC izvede za vse dohodne tokove preverjanja pristnosti Kerberos.

Ti CVE-ji vključujejo lokalno povišanje pravic, pri katerem zlonamerni ali ogroženi račun storitve, ki se izvaja v delovni postaji Windows, poskuša doseči prednost za pridobitev lokalnih skrbniških pravic. To pomeni, da to vpliva le na delovno postajo Windows, ki sprejema dohodno preverjanje pristnosti Kerberos.

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost