Povzetek
Varnostne posodobitve sistema Windows, izdane 9. aprila 2024 ali po njih, odpravljajo ranljivosti zaradi prisvojitev pravic s protokolom Kerberos PAC Validation Protocol. Potrdilo o atributu pravic (PAC) je razširitev za vstopnice storitve Kerberos. Vsebuje informacije o uporabniku s preverjeno pristnostjo in njihovih pravicah. Ta posodobitev odpravi ranljivost, zaradi kateri lahko uporabnik postopka zakrije podpis, da obide preverjanja veljavnosti podpisa PAC, ki so bila dodana v programu KB5020805: Upravljanje sprememb protokola Kerberos, povezanih s CVE-2022-37967.
Če želite izvedeti več o teh ranljivostih, obiščite CVE-2024-26248 in CVE-2024-29056.
Ukrepajte
POMEMBNO1. korak za namestitev posodobitve, izdane 9. aprila 2024 ali po tem, ne bo v celoti odpravil varnostnih težav v CVE-2024-26248 in CVE-2024-29056 . Če želite v celoti ublažiti varnostno težavo za vse naprave, morate po popolni nadgradnji okolja premakniti v način vsilite (opisan v 3. koraku).
Če želite zaščititi svoje okolje in preprečiti izpade, priporočamo te korake:
-
POSODOBITEV: Krmilniki domene in odjemalci sistema Windows morajo biti posodobljeni z varnostno posodobitvijo sistema Windows, izdano 9. aprila 2024 ali po tem.
-
MONITOR: Dogodki nadzora bodo v združljivostnem načinu vidni za prepoznavanje naprav, ki niso posodobljene.
-
OMOGOČI: Ko je način uveljavljanja v celoti omogočen v vašem okolju, se bodo ranljivosti, opisane v CVE-2024-26248 in CVE-2024-29056 , ublažili.
Ozadje
Ko delovna postaja Sistema Windows izvede preverjanje veljavnosti PAC v dohodnem toku preverjanja pristnosti Kerberos, izvede novo zahtevo (Network Ticket Logon) za preverjanje veljavnosti naročila storitve. Zahteva je najprej posredovana krmilniku domene (DC) domene Workstations prek storitve Netlogon.
Če račun storitve in račun računalnika pripadata različnim domenam, se zahteva izvede v vseh potrebnih zaupanih prek Netlogon, dokler ne doseže domene storitev; v nasprotnem primeru dc v domeni računov računalnikov izvede preverjanje veljavnosti. DC nato pokliče središče za distribucijo ključa (KDC), da preveri veljavnost podpisov PAC naročila storitve ter pošlje podatke o uporabniku in napravi nazaj v delovno postajo.
Če sta zahteva in odgovor posredovana prek zaupanja (v primeru, ko račun storitve in službena postaja pripadata različni domeni), vsak KRMILNIK domene filtrira podatke za preverjanje veljavnosti, ki se nanašajo nanj.
Časovnica sprememb
Posodobitve so izdane, kot je opisano v nadaljevanju. Upoštevajte, da bo ta razpored izdaje morda po potrebi spremenjen.
Faza začetne uvedbe se začne s posodobitvami, izdanimi 9. aprila 2024. Ta posodobitev doda novo vedenje, ki preprečuje prisvojitev ranljivosti pravic, opisane v CVE-2024-26248 in CVE-2024-29056 , vendar jih ne vsili, razen če so posodobljeni tako krmilniki domene sistema Windows kot tudi odjemalci sistema Windows v okolju.
Če želite omogočiti novo delovanje in ublažiti ranljivosti, morate zagotoviti, da je posodobljeno celotno okolje sistema Windows (vključno s krmilniki domene in odjemalci). Dogodki nadzora bodo zabeleženi v dnevnik, da bodo lažje prepoznali naprave, ki niso posodobljene.
Posodobitve, ki je bila izdana 15. oktobra 2024 ali po tem, premakne vse krmilnike domene in odjemalce sistema Windows v način Vsili tako, da nastavitve registrskega podključa spremenite v PacSignatureValidationLevel=3 in CrossDomainFilteringLevel=4, kar privzeto uveljavlja varno vedenje.
Če želite povrniti združljivostni način, lahko nastavitve Vsili privzeto preglasi skrbnik.
Varnostne posodobitve sistema Windows, izdane 8. aprila 2025 ali pozneje, bodo odstranile podporo za registrske podključe PacSignatureValidationLevel in CrossDomainFilteringLevel ter uveljavili novo varno delovanje. Po namestitvi te posodobitve podpora za združljivostni način ne bo na voljo.
Morebitne težave in ublažitve posledic
Pojavijo se lahko morebitne težave, vključno s preverjanjem veljavnosti PAC in napakami filtriranja navzkrižnega gozda. 9. aprila 2024 varnostna posodobitev vključuje nadomestno logiko in nastavitve registra za pomoč pri ublažitvi teh težav
Nastavitve registra
Ta varnostna posodobitev je na voljo za naprave s sistemom Windows (vključno s krmilniki domene). Te registrske ključe, ki nadzorujejo delovanje, je treba uvesti le v strežnik Kerberos, ki sprejema preverjanje pristnosti Kerberos in izvaja preverjanje veljavnosti PAC.
|
Registrski podključ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Vrednost |
PacSignatureValidationLevel |
|
|
Podatkovni tip |
REG_DWORD |
|
|
Podatki |
2 |
Privzeto (združljivost z neujemajo se okoljem) |
|
3 |
Uveljavljanje |
|
|
Ali je vnovični zagon obvezen? |
Ne |
|
|
Registrski podključ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Vrednost |
CrossDomainFilteringLevel |
|
|
Podatkovni tip |
REG_DWORD |
|
|
Podatki |
2 |
Privzeto (združljivost z neujemajo se okoljem) |
|
4 |
Uveljavljanje |
|
|
Ali je vnovični zagon obvezen? |
Ne |
|
Ta registrski ključ je mogoče uvesti tako v strežnike sistema Windows, ki sprejemajo preverjanje pristnosti dohodnega kerberosa, kot tudi za kateri koli krmilnik domene sistema Windows, ki med potjo veljavni nov tok za prijavo omrežne vstopnice.
|
Registrski podključ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Vrednost |
AuditKerberosTicketLogonEvents |
|
|
Podatkovni tip |
REG_DWORD |
|
|
Podatki |
1 |
Privzeto – zabeleži kritične dogodke |
|
2 |
Log All Netlogon Events |
|
|
0 |
Ne beleži dogodkov na Netlogonu |
|
|
Ali je vnovični zagon obvezen? |
Ne |
|
Dnevniki dogodkov
Naslednji dogodki nadzora Kerberos bodo ustvarjeni v strežniku Kerberos, ki sprejema preverjanje pristnosti Dohodni Kerberos. Ta strežnik Kerberos bo delal PAC Validation, ki uporablja novo Network Ticket Logon Flow.
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Informativne |
|
Vir dogodka |
Security-Kerberos |
|
ID dogodka |
21 |
|
Besedilo dogodka |
Med prijavo v kerberos network ticket je vstopnica storitve za račun <Račun> iz domene <domain> opravila krmilnika domene dc <naredil>. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2262558. |
Ta dogodek se prikaže, ko je krmilnik domene med tokom prijave na omrežno vstopnico opravil nesmrto dejanje. Trenutno so zabeležena ta dejanja:
-
Uporabniški SID-ji so bili filtrirani.
-
Id-ji SID-jev naprav so bili filtrirani.
-
Sestavljena identiteta je bila odstranjena zaradi onemogočanja filtriranja SID-a identitete naprave.
-
Sestavljena identiteta je bila odstranjena, ker filtriranje SID onemogoča ime domene naprave.
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Napaka |
|
Vir dogodka |
Security-Kerberos |
|
ID dogodka |
22 |
|
Besedilo dogodka |
Med Kerberos Network Ticket Logon je naročilo storitve za račun <Account> from Domain <Domain> zavrnil dc <DC> zaradi spodaj navedenih razlogov. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2262558. |
Ta dogodek se prikaže, ko krmilnik domene zavrne zahtevo za prijavo v omrežno vstopnico iz razlogov, prikazanih v dogodku.
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo ali napaka |
|
Vir dogodka |
Security-Kerberos |
|
ID dogodka |
23 |
|
Besedilo dogodka |
Med prijavo v kerberos network ticket ni bilo mogoče <account_name> vstopnice za račun iz domene <domain_name> ni bilo mogoče posredovati v krmilnik domene za popravilo zahteve. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Ta dogodek je prikazan kot opozorilo, če PacSignatureValidationLevel AND CrossDomainFilteringLevel niso nastavljeni na Vsili ali strožje. Ko je dogodek zabeležen kot opozorilo, pomeni, da je prijava omrežne vstopnice pretočena v stik s krmilnikom domene ali enakovredno napravo, ki ni razumela novega mehanizma. Preverjanje pristnosti je bilo dovoljeno, da se ne odzove na prejšnje vedenje.
-
Ta dogodek je prikazan kot napaka, če je PacSignatureValidationLevel OR CrossDomainFilteringLevel nastavljen na Vsili ali strožje. Ta dogodek kot »napaka« pomeni, da je tok prijave omrežne vozovnice stik s krmilnikom domene ali enakovredno napravo, ki ni razumela novega mehanizma. Preverjanje pristnosti je bilo zavrnjeno in ni bilo mogoče zanikati prejšnjega delovanja.
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Napaka |
|
Vir dogodka |
Netlogon |
|
ID dogodka |
5842 |
|
Besedilo dogodka |
Pri storitvi Netlogon je prišlo do nepričakovane napake pri obdelavi zahteve za prijavo v storitev Kerberos Network Ticket. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2261497. Račun za vstopnico za storitev: <račun> Domena naročila storitve: <domena> Ime delovne postaje: <ime> Stanje: <kode> |
Ta dogodek se ustvari vedno, ko je Netlogon naletel na nepričakovano napako med zahtevo za prijavo v omrežno vstopnico. Ta dogodek je zabeležen, ko je auditKerberosTicketLogonEvents nastavljen na (1) ali višjo.
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Netlogon |
|
ID dogodka |
5843 |
|
Besedilo dogodka |
Storitev Netlogon ni posredovala zahteve Kerberos Network Ticket Logon v krmilnik domene, <krmilnik domene>. Če želite več informacij, obiščite https://go.microsoft.com/fwlink/?linkid=2261497. Račun za vstopnico za storitev: <račun> Domena naročila storitve: <domena> Ime delovne postaje: <ime> |
Ta dogodek se ustvari, kadar Netlogon ni mogel dokončati prijave omrežne vstopnice, ker krmilnik domene ni razumel sprememb. Zaradi omejitev v protokolu Netlogon odjemalec Netlogon ne more ugotoviti, ali je krmilnik domene, s katerega neposredno govori odjemalec Netlogon, tisti, ki ne razume sprememb, ali pa gre za krmilnik domene vzdolž verige za posredovanje, ki ne razume sprememb.
-
Če je domena naročila storitve enaka kot domena računa računalnika, krmilnik domene v dnevniku dogodkov verjetno ne razume toka prijave Network Ticket.
-
Če se domena naročila storitve razlikuje od domene računa računalnika, eden od krmilnikov domene na poti od domene računa računalnika do domene storitvenega računa ni razumel toka za prijavo omrežne vstopnice
Ta dogodek je privzeto izklopljen. Microsoft priporoča, da uporabniki pred vklopom dogodka najprej posodobijo celotno floto.
Ta dogodek je zabeležen, ko je auditKerberosTicketLogonEvents nastavljen na (2).
Pogosta vprašanja
Krmilnik domene, ki ni posodobljen, ne prepozna te nove strukture zahteve. To bo povzročilo neuspešno varnostno preverjanje. V združljivostnem načinu bo uporabljena stara struktura zahteve. Ta scenarij je še vedno ranljiv za CVE-2024-26248 in CVE-2024-29056.
Da. To je zato, ker mora biti novi tok za prijavo v omrežno vstopnico preusmerjen v domenah, da doseže domeno računa storitve.
Preverjanje veljavnosti PAC je lahko preskočeno v določenih okoliščinah, vključno s temi scenariji, vendar ne omejeno na to:
-
Če ima storitev pravico TCB. Na splošno imajo storitve, ki se izvajajo v kontekstu računa SYSTEM (na primer datotečno skupno rabo SMB ali strežniki LDAP), to pravico.
-
Če storitev zaženete v razporejevalniku opravil.
Sicer se preverjanje veljavnosti PAC izvede za vse dohodne tokove preverjanja pristnosti Kerberos.
Ti CVE-ji vključujejo lokalno povišanje pravic, pri katerem zlonamerni ali ogroženi račun storitve, ki se izvaja v delovni postaji Windows, poskuša doseči prednost za pridobitev lokalnih skrbniških pravic. To pomeni, da to vpliva le na delovno postajo Windows, ki sprejema dohodno preverjanje pristnosti Kerberos.
