Dnevnik sprememb
|
Sprememba 1: 19. junij 2023:
|
V tem članku
Povzetek
Posodobitve sistema Windows, izdane 8. novembra 2022, in varnostne obhode naslova ter povišanje ranljivosti pravic s pogajanjem za preverjanje pristnosti s šibkim pogajanjem RC4-HMAC.
Ta posodobitev nastavi AES kot privzeto vrsto šifriranja za ključe seje v računih, ki še niso označeni s privzeto vrsto šifriranja.
Če želite zaščititi svoje okolje, namestite posodobitve sistema Windows, izdane 8. novembra 2022 ali naprej, v vse naprave, vključno s krmilniki domene. Glejte Sprememba 1.
Če želite izvedeti več o teh ranljivostih, glejte CVE-2022-37966.
Odkrivanje vrst šifriranja ključa seje z eksplicitno sejo
Morda ste izrecno določili vrste šifriranja v uporabniških računih, ki so ranljive za CVE-2022-37966. Poiščite račune, pri katerih je des /RC4 izrecno omogočen, AES pa ne s to poizvedbo imenika Active Directory:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Nastavitve registrskega ključa
Po namestitvi posodobitev sistema Windows z datumom ali po 8. novembru 2022 je za protokol Kerberos na voljo ta registrski ključ:
DefaultDomainSupportedEncTypes
|
Registrski ključ |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Vrednost |
DefaultDomainSupportedEncTypes |
|
Podatkovni tip |
REG_DWORD |
|
Vrednost podatkov |
0x27 (privzeto) |
|
Ali je potreben vnovični zagon? |
Ne |
Opomba Če morate spremeniti privzeto podprto vrsto šifriranja za uporabnika ali računalnik Imenika Active Directory, ročno dodajte in konfigurirajte registrski ključ, da nastavite novo podprto vrsto šifriranja. Ta posodobitev ne doda registrskega ključa samodejno.
Krmilniki domene sistema Windows uporabljajo to vrednost za določanje podprtih vrst šifriranja v računih v imeniku Active Directory, katerih vrednost msds-SupportedEncryptionType je prazna ali ni nastavljena. Računalnik, v katerem se izvaja podprta različica operacijskega sistema Windows, samodejno nastavi račun msds-SupportedEncryptionTypes za te računalnike v imeniku Active Directory. To temelji na konfigurirani vrednosti vrst šifriranja, ki jo lahko uporablja protokol Kerberos. Če želite več informacij, glejte Varnost omrežja: Konfiguriranje vrst šifriranja, ki so dovoljene za Kerberos.
Uporabniški računi, računi za upravljane storitve skupine in drugi računi v imeniku Active Directory nimajo samodejno nastavljene vrednosti msds-SupportedEncryptionTypes .
Podprte vrste šifriranja, ki jih lahko nastavite ročno, najdete v članku Bitne zastavice podprtih vrst šifriranja. Če želite več informacij, si oglejte, kaj morate najprej narediti, da boste lažje pripravili okolje in preprečili težave s preverjanjem pristnosti Kerberos.
Privzeta vrednost 0x27 (DES, RC4, ključi seje AES) je bila izbrana kot minimalna sprememba, potrebna za to varnostno posodobitev. Priporočamo, da stranke vrednost nastavijo na 0x3C za večjo varnost, saj ta vrednost omogoča vstopnice, šifrirane s AES, in ključe seje AES. Če so stranke upoštevale naša navodila za premik v okolje, ki je le AES, kjer SE RC4 ne uporablja za protokol Kerberos, priporočamo, da stranke vrednost nastaviti na 0x38. Glejte Sprememba 1.
Dogodki sistema Windows, povezani s CVE-2022-37966
Kerberos Key Distribution Center lacks strong keys for account
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Napaka |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
42 |
|
Besedilo dogodka |
V središču Kerberos Key Distribution Center ni zapletenih ključev za račun: ime računa. Če želite preprečiti uporabo nezaščitene kriptografije, posodobite geslo tega računa. Če želite https://go.microsoft.com/fwlink/?linkid=2210019 več informacij, glejte Članek z več podatki. |
Če najdete to napako, boste verjetno morali ponastaviti geslo za krbtgt, preden nastavite KrbtgtFullPacSingature = 3 ali namestiti Windows Posodobitve, izdano 11. julija 2023 ali po tem datumu. Posodobitev, ki programsko omogoča način uveljavljanja za CVE-2022-37967, je dokumentirana v tem članku v Microsoftovi zbirki znanja:
KB5020805: Kako upravljati spremembe protokola Kerberos v zvezi s CVE-2022-37967
Če želite več informacij o tem, kako to naredite, glejteNew-KrbtgtKeys.ps1 na spletnem mestu GitHub.
Pogosta vprašanja in znane težave
Računi, ki so označeni za izrecno uporabo rc4, so ranljivi. Poleg tega so lahko okolja, ki v računu krbgt nimajo ključev seje AES, ranljiva. Če želite to težavo ublažiti, upoštevajte navodila za prepoznavanje ranljivosti in uporabite razdelek Nastavitev registrskega ključa, da posodobite izrecno nastavitev privzetih nastavitev šifriranja.
Preveriti boste morali, ali imajo vse vaše naprave običajno vrsto šifriranja Kerberos. Če želite več informacij o vrstah šifriranja Kerberos, glejte Dešifriranje izbora podprtih vrst šifriranja Kerberos.
Okolja brez običajne vrste šifriranje Kerberos so bila morda prej funkcionalna zaradi samodejnega dodajanja RC4 ali dodatka AES, če so krmilniki domene onemogočili RC4 s pravilnikom skupine. To vedenje se je spremenilo s posodobitvami, izdanimi 8. novembra 2022 ali po tem in bo zdaj strogo sledilo temu, kar je nastavljeno v registrskih ključih, msds-SupportedEncryptionTypes in DefaultDomainSupportedEncTypes.
Če račun nima nastavljenega nabora msds-SupportedEncryptionTypes ali pa je nastavljen na 0, krmilniki domene predvidevajo privzeto vrednost za 0x27 (39) ali pa bo krmilnik domene uporabil nastavitev v registrskem ključu DefaultDomainSupportedEncTypes.
Če je račun nastavljen na msds-SupportedEncryptionTypes , se ta nastavitev spoštuje in lahko izpostavi napako, da je konfigurirala običajno vrsto šifriranja Kerberos, zakrito s prejšnjim vedenjem samodejnega dodajanja rc4 ali AES, kar ni več vedenje po namestitvi posodobitev, izdanih 8. novembra 2022 ali po tem.
Če želite informacije o tem, kako preverite, ali imate pogosto vrsto šifriranja Kerberos, si oglejte vprašanje Kako lahko preverim, ali imajo vse moje naprave običajno vrsto šifriranja Kerberos?
Če želite več informacij o tem, zakaj po namestitvi posodobitev, izdanih 8. novembra 2022, vaše naprave morda nimajo običajne vrste šifriranje Kerberos, glejte prejšnje vprašanje.
Če ste že namestili posodobitve, ki so bile izdane 8. novembra 2022 ali po tem, lahko naprave, ki nimajo običajne vrste šifriranja Kerberos, zaznate tako, da si ogledate dnevnik dogodkov za dogodek Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, ki prepozna različne vrste šifriranja med odjemalci in oddaljenimi strežniki ali storitvami Kerberos.
Namestitev posodobitev, izdanih 8. novembra 2022 ali po tem, v odjemalcih ali strežnikih z vlogo, ki niso krmilnik domene, ne bi morala vplivati na preverjanje pristnosti Kerberos v vašem okolju.
Če želite to znano težavo ublažiti, odprite okno ukaznega poziva kot skrbnik in z naslednjim ukazom začasno nastavite registrski ključ KrbtgtFullPacSignature na 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Opomba Ko je ta znana težava odpravljena, nastavite KrbtgtFullPacSignature na višjo nastavitev, odvisno od tega, kaj bo vaše okolje omogočilo. Priporočamo, da je način uveljavljanja omogočen takoj, ko je vaše okolje pripravljeno.
Naslednji korakiPripravljamo rešitev in bomo ponudili posodobitev v prihodnji izdaji.
Po namestitvi posodobitev, izdanih 8. novembra 2022 v krmilnikih domene ali po tem, morajo vse naprave podpirati podpisovanje vstopnic AES, če je to potrebno, da so v skladu z varnostnim utrjevanjem, ki je zahtevano za CVE-2022-37967.
Naslednji koraki Če že imate nameščeno najnovejšo programsko opremo in vdelano programsko opremo za naprave, ki niso naprave s sistemom Windows, in ste preverili, da je med krmilniki domene sistema Windows in napravami, ki niso naprave s sistemom Windows, na voljo pogosta vrsta šifriranja, se boste morali za pomoč ali zamenjavo naprav z napravami, ki so skladne s predpisi, obrnite na proizvajalca naprave (OEM).
POMEMBNO Priporočamo, da ne uporabite nadomestne rešitve za preverjanje pristnosti neskladnih naprav, saj lahko s tem ranljivo okolje.
Nepodprte različice sistema Windows vključujejo Windows XP, Windows Server 2003, Windows Server 2008 s servisnim paketom SP2 in Windows Server 2008 R2 s servisnim paketom SP1, do njih ni mogoče dostopati s posodobljenimi napravami s sistemom Windows, razen če imate licenco ESU. Če imate licenco ESU, boste morali namestiti posodobitve, izdane 8. novembra 2022 ali po tem novembru, in preveriti, ali je za vašo konfiguracijo na voljo pogosta vrsta šifriranja med vsemi napravami.
Naslednji koraki Namestite posodobitve, če so na voljo za vašo različico sistema Windows in imate veljavno licenco ESU. Če posodobitve niso na voljo, boste morali nadgraditi na podprto različico sistema Windows ali premakniti aplikacijo ali storitev v združljivo napravo.
POMEMBNO Priporočamo, da ne uporabite nadomestne rešitve za preverjanje pristnosti neskladnih naprav, saj lahko s tem ranljivo okolje.
Ta znana težava je bila odpravljena v posodobitvah zunaj pasu, izdanih 17. novembra 2022 in 18. novembra 2022, za namestitev v vse krmilnike domene v vašem okolju. Če želite odpraviti to težavo, vam ni treba namestiti nobene posodobitve ali spremeniti drugih strežnikov ali odjemalskih naprav v vašem okolju. Če ste za to težavo uporabili nadomestno rešitev ali ublažitev težav, jih ne potrebujete več, zato vam priporočamo, da jih odstranite.
Če želite pridobiti samostojni paket za te posodobitve zunaj pasu, poiščite številko posodobitve KB na spletnem mestu Katalog Microsoft Update. Te posodobitve lahko ročno uvozite v Windows Server Update Services (WSUS) in Microsoft Endpoint Configuration Manager. Če želite navodila za WSUS, glejte WSUS in mesto kataloga. Če želite navodila za upravitelja konfiguracije, glejte Uvoz posodobitev iz kataloga Microsoft Update.
Opomba Naslednje posodobitve niso na voljo v storitvi Windows Update in se ne namestijo samodejno.
Zbirne posodobitve:
Opomba Pred namestitvijo teh zbirnih posodobitev vam ni treba namestiti nobene prejšnje posodobitve. Če ste že namestili posodobitve, izdane 8. novembra 2022, vam pred namestitvijo poznejših posodobitev, vključno z zgoraj navedenimi posodobitvami, ni treba odstraniti prizadetih posodobitev.
Samostojni Posodobitve:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (izdan 18. novembra 2022)
-
Windows Server 2008 s servisnim paketom SP2: KB5021657
Opombe
-
Če uporabljate samo varnostne posodobitve za te različice sistema Windows Server, morate namestiti samo te samostojne posodobitve za mesec november 2022. Samo varnostne posodobitve niso zbirne, poleg tega pa boste morali namestiti tudi vse prejšnje posodobitve, ki so samo varnostne, da bodo v celoti posodobljene. Mesečni paket posodobitev je zbirni in vključuje varnostne posodobitve in vse posodobitve kakovosti.
-
Če uporabljate mesečni paket posodobitev, boste morali namestiti tako samostojne posodobitve, kot so navedene zgoraj, da odpravite to težavo, in namestiti mesečni paket posodobitev, izdan 8. novembra 2022, da boste prejeli posodobitve kakovosti za november 2022. Če ste že namestili posodobitve, izdane 8. novembra 2022, vam pred namestitvijo poznejših posodobitev, vključno z zgoraj navedenimi posodobitvami, ni treba odstraniti prizadetih posodobitev.
Če ste preverili konfiguracijo okolja in še vedno prihaja do težav z izvajanjem sistema Kerberos, ki ni Microsoftova, boste potrebovali posodobitve ali podporo razvijalca ali proizvajalca aplikacije ali naprave.
To znano težavo lahko zmanjšate tako, da naredite nekaj od tega:
-
Nastavite msds-SupportedEncryptionTypes z bitno vrednost ali pa jo nastavite na trenutno privzeto vrednost 0x27 da ohranite trenutno vrednost. Na primer:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Nastavite msds-SupportEncryptionTypes na 0 , da lahko krmilniki domene uporabijo privzeto vrednost 0x27.
Naslednji korakiPripravljamo rešitev in bomo ponudili posodobitev v prihodnji izdaji.
Slovar
Advanced Encryption Standard (AES) je šifriranje bloka, ki nadomešča standard za šifriranje podatkov (DES). Sistem AES se lahko uporablja za zaščito elektronskih podatkov. Algoritem AES lahko uporabljate za šifriranje (šifriranje) in dešifriranje (dešifriranje) informacij. Šifriranje pretvori podatke v nerazumno obliko, imenovano ciphertext; dešifriranje ciphertext pretvori podatke nazaj v izvirno obliko, imenovano navadno besedilo. AES se uporablja v kriptografiji s simetričnim ključem, kar pomeni, da se isti ključ uporablja za postopke šifriranja in dešifriranja. Gre tudi za kodo bloka, kar pomeni, da deluje v blokih navadnega besedila in ciphertext v nespremenljivi velikosti, ter zahteva, da sta velikost navadnega besedila in ciphertext natančno večkratnik te velikosti bloka. AES je znan tudi kot algoritem simetričnega šifriranja Rijndael [FIPS197].
Kerberos je protokol preverjanja pristnosti v omrežju računalnika, ki deluje na podlagi »vstopnic«, ki vozliščem, ki prek omrežja komunicirajo, da dokažejo svojo identiteto med seboj na varen način.
Storitev Kerberos, ki izvaja storitve preverjanja pristnosti in dodeljevanja vstopnic, določenih v protokolu Kerberos. Storitev se izvaja v računalnikih, ki jih izbere skrbnik sfere ali domene; ni prisoten v vseh računalnikih v omrežju. Za sfero, ki ji služi, mora imeti dostop do zbirke podatkov računa. KD-ji so integrirani v vlogo krmilnika domene. Gre za omrežno storitev, ki odjemalcem dobavlja vstopnice za uporabo pri omogočanja pristnosti storitev.
RC4-HMAC (RC4) je algoritem simetričnega šifriranja dolžine spremenljive dolžine ključa. Če želite več informacij, glejte [SCHNEIER] poglavje 17.1.
Relativno kratkoživ simetrični ključ (kriptografski ključ, o katerem sta se dogovorila odjemalec in strežnik na podlagi skupne skrivnosti). Življenjska doba ključev seje je vezana na sejo, s katero je povezano. Ključ seje mora biti dovolj močan, da lahko prenese kriptanolizo za življenjsko dobo seje.
Posebna vrsta vozovnice, ki jo je mogoče uporabiti za pridobitev drugih vstopnic. Ticket-granting Ticket (TGT) se pridobi po prvotnem preverjanju pristnosti v izmenjavo storitev preverjanja pristnosti (AS); nato uporabnikom ni treba predstaviti svojih poverilnic, lahko pa uporabijo TGT za pridobitev poznejših vozovnic.
