Primenjuje se na
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Originalni datum objavljivanja: 9. april 2024.

KB ID: 5037754

Podrška za Windows 10 završiće se u oktobru 2025.

Posle 14. oktobra 2025. Microsoft više neće pružati besplatne ispravke softvera za Windows Update, tehničku pomoć niti bezbednosne ispravke za Windows 10. Računar će i dalje raditi, ali preporučujemo da se prebacite na Windows 11.

Saznajte više

Promeni datum

Opis

9. januar 2025.

U odeljku "Januar 2025: Nametnuto podrazumevanom fazom" u odeljku "Vremenska osa promena", naglašava se da će postojeće postavke ključa registratora zameniti podrazumevano ponašanje ispravki objavljenih u januaru 2025. ili posle januara 2025.

1. oktobar 2024.

Primenjena podrazumevana faza je promenjena sa oktobra 2024. na januar 2025.

Rezime

Bezbednosne ispravke operativnog sistema Windows objavljene 9. aprila 2024. ili posle 9. aprila 2024. podići su ranjivosti privilegija pomoću Kerberos PAC protokola za validaciju. Certifikat atributa Privilege Attribute (PAC) je proširenje za tikete usluge Kerberos. On sadrži informacije o korisniku koji potvrde identiteta i njihovim privilegijama. Ova ispravka popravlja ranjivost gde korisnik procesa može da prevare potpis da bi zaobišao bezbednosne provere valjanosti PAC potpisa dodate u KB5020805: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37967.

Pored toga, ova ispravka rešava ranjivost u određenim scenarijima unakrsne šume. Da biste saznali više o ovim ranjivostima, posetite CVE-2024-26248 i CVE-2024-29056.

Preduzimanje radnje

VAЋNO1. korak za instaliranje ispravke objavljene 9. aprila 2024. neće biti u potpunosti rešeni bezbednosni problemi u CVE-2024-26248 i CVE-2024-29056 . Da biste u potpunosti umanjili bezbednosni problem za sve uređaje, morate da pređete u nametnut režim (opisano u 3. koraku) kada se okruženje potpuno ažurira.

Da biste zaštitili okruženje i sprečili prekede, preporučujemo sledeće korake:

  1. AŽURIRANJE: Windows kontrolori domena i Windows klijenti moraju da se ažuriraju Windows bezbednosnom ispravkom objavljenom 9. aprila 2024. ili posle toga.

  2. MONITOR: Događaji nadzora će biti vidljivi u režimu kompatibilnosti da bi se identifikovali uređaji koji nisu ažurirani.

  3. OMOGUĆI: Kada režim sprovođenja bude u potpunosti omogućen u okruženju, ranjivosti opisane u programima CVE-2024-26248 i CVE-2024-29056 biće umanjene.

Pozadina

Kada Windows radna prodavnica izvrši PAC validaciju u dolaznom Kerberos toku potvrde identiteta, izvršava novi zahtev (prijavljivanje tiketa na mrežu) za proveru valjanosti tiketa za uslugu. Zahtev se prvobitno prosleđujete kontroloru domena (DC) domena Workstations putem usluge Netlogon.

Ako nalog usluge i nalog računara pripadaju različitim domenima, zahtev se prenosi preko neophodnih poverenja putem programa Netlogon dok ne stigne do domena usluga; u suprotnom, DC na domenu naloga računara izvršava validaciju. DC zatim poziva Key Distribution Center (KDC) da proveri valjanost PAC potpisa tiketa usluge i šalje informacije o korisniku i uređaju nazad na radnu lokaciju.

Ako su zahtev i odgovor prosleđeni u poverenje (u slučaju kada nalog usluge i nalog radne sobe pripadaju različitim domenima), svaki DC u okviru podataka o autorizaciji filtera pouzdanih filtera koji se odnosi na njega.

Vremenska osa promena

Novosti se objave na sledeći način. Imajte na umu da ovaj raspored izdanja može da se korigujete po potrebi.

Početna faza primene počinje ispravkama objavljenim 9. aprila 2024. Ova ispravka dodaje novo ponašanje koje sprečava podizanje ranjivosti privilegija opisanih u cve-2024-26248 i CVE-2024-29056 , ali ga ne nameće ako se ne ažuriraju i Windows kontrolori domena i Windows klijenti u okruženju.

Da biste omogućili novo ponašanje i smanjili ranjivosti, morate da se uverite da je čitavo Windows okruženje (uključujući i kontrolere domena i klijente) ažurirano. Događaji nadzora će biti evidentirani da bi se lakše identifikovali uređaji koji nisu ažurirani.

Novosti objavljene u januaru 2025. ili posle januara 2025. premestiće sve Windows kontrolere domena i klijente u okruženju u nametnut režim. Ovaj režim će podrazumevano nametati bezbedno ponašanje. Postojeće postavke ključa registratora koje su prethodno postavljene poništiće ovu podrazumevanu promenu ponašanja.

Podrazumevane postavke nametnutog režima može da zameni administrator da bi se vratili na režim kompatibilnosti .

Windows bezbednosne ispravke objavljene u aprilu 2025. ili posle aprila 2025. ukloniće podršku za potključove registratora PacSignatureValidationLevel i CrossDomainFilteringLevel i nametnuće novo bezbedno ponašanje. Neće biti podrške za režim kompatibilnosti nakon instaliranja ispravke iz aprila 2025.

Potencijalni problemi i umanjivanja

Može doći do potencijalnih problema, uključujući PAC proveru valjanosti i neuspešno filtriranje u više šuma. Bezbednosna ispravka od 9. aprila 2024. uključuje povratnu logiku i postavke registratora kako bi pomogla u umanjivanju ovih problema

Postavke registratora

Ova bezbednosna ispravka se nudi Windows uređajima (uključujući kontrolera domena). Sledeći ključevi registratora koji kontrolišu ponašanje treba da se primene samo na Kerberos serveru koji prihvata dolaznu Kerberos potvrdu identiteta i izvršavanje PAC provere valjanosti.

Potključ registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Vrednost

PacSignatureValidationLevel

Tip podataka

REG_DWORD

Podaci

2

Podrazumevano (Kompatibilnost sa neobjašnjenim okruženjem)

3

Sprovodi

Potrebno je ponovno pokretanje?

Ne

Potključ registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Vrednost

CrossDomainFilteringLevel

Tip podataka

REG_DWORD

Podaci

2

Podrazumevano (Kompatibilnost sa neobjašnjenim okruženjem)

4

Sprovodi

Potrebno je ponovno pokretanje?

Ne

Ovaj ključ registratora može da se primeni na Windows servere koji prihvataju dolaznu Kerberos potvrdu identiteta, kao i na sve Windows kontrolere domena koji proveravaju valjanost novog toka prijavljivanja mrežnih tiketa tokom tog posla.

Potključ registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Vrednost

AuditKerberosTicketLogonEvents

Tip podataka

REG_DWORD

Podaci

1

Podrazumevano – evidencija kritičnih događaja

2

Evidentiraj sve Netlogon događaje

0

Ne evidentiraj Netlogon događaje

Potrebno je ponovno pokretanje?

Ne

Evidencije događaja

Sledeći događaji Kerberos nadzora biće generisani na Kerberos serveru koji prihvata dolaznu Kerberos potvrdu identiteta. Ovaj Kerberos server će obavljati PAC proveru valjanosti, koja koristi novi tok prijavljivanja mrežnih tiketa.

Evidencija događaja

Sistem

Tip događaja

Informaciono

Izvor događaja

Security-Kerberos

ID događaja

21

Tekst događaja

Tokom prijavljivanja kerberos mrežnih tiketa, tiket za uslugu za nalog <naloga> sa sajta Domain <Domain> imao je sledeće radnje koje mu je uradio DC <Domain Controller>. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2262558.<radnji>

Ovaj događaj se prikazuje kada je kontroler domena preduzeo ne-fatalnu radnju tokom toka prijavljivanja mrežnih tiketa. Od sada se evidentiraju sledeće radnje:

  • SiD-e korisnika su filtrirane.

  • SID-e uređaja su filtrirane.

  • Povezani identitet je uklonjen zbog SID filtriranja koje ne onemogućava identitet uređaja.

  • Povezani identitet je uklonjen zbog SID filtriranja koje ne potiče od imena domena uređaja.

Evidencija događaja

Sistem

Tip događaja

Greška

Izvor događaja

Security-Kerberos

ID događaja

22

Tekst događaja

Tokom prijavljivanja Kerberos mrežnih tiketa, tiket za nalog <naloga> domena <Domain> odbijen je od strane DC <DC> zbog dolenavedenih razloga. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2262558.Razlog: <razlog> Kôd greške: <kod greške>

Ovaj događaj se prikazuje kada je kontrolor domena odbio zahtev za prijavljivanje na mrežni tiket iz razloga prikazanih u događaju. ​​​​​​

Evidencija događaja

Sistem

Tip događaja

Upozorenje ili greška

Izvor događaja

Security-Kerberos

ID događaja

23

Tekst događaja

Tokom prijavljivanja Kerberos mrežnih tiketa, tiket usluge za nalog <account_name> sa lokacije Domain <domain_name> nije bilo moguće proslediti kontroloru domena da bi se servisirao zahtev. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2262558.

  • Ovaj događaj se prikazuje kao upozorenje ako PacSignatureValidationLevel AND CrossDomainFilteringLevel nisu postavljeni na Nametanje ili strože. Kada se evidentira kao upozorenje, događaj ukazuje na to da su tokovi prijavljivanja mrežnih tiketa kontaktirali kontroler domena ili uređaj koji nije razumeo novi mehanizam. Potvrda identiteta je dozvoljena da se vratite na prethodno ponašanje.

  • Ovaj događaj se prikazuje kao greška ako je postavka PacSignatureValidationLevel OR CrossDomainFilteringLevel postavljena na Nametanje ili strože. Ovaj događaj kao "greška" ukazuje na to da je tok prijavljivanja mrežnih tiketa kontaktirao kontroler domena ili uređaj koji nije razumeo novi mehanizam. Potvrda identiteta je odbijena i nije mogla da se poništi na prethodno ponašanje.

Evidencija događaja

Sistem

Tip događaja

Greška

Izvor događaja

Netlogon

ID događaja

5842

Tekst događaja

Usluga Netlogon je naišla na neočekivanu grešku prilikom obrade zahteva za prijavljivanje na Kerberos mrežni tiket. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2261497.

Nalog tiketa za uslugu: <nalog>

Domen tiketa usluge: <domen>

Ime radne baze podataka: <ime računara>

Status: <kod greške>

Ovaj događaj se generiše svaki put kada Netlogon naiđe na neočekivanu grešku tokom zahteva za prijavljivanje na mrežni tiket. Ovaj događaj se evidentira kada je funkcija AuditKerberosTicketLogonEvents postavljena na (1) ili noviju verziju.

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Netlogon

ID događaja

5843

Tekst događaja

Usluga Netlogon nije uspela da prosledi zahtev za prijavljivanje u Kerberos mrežni tiket na kontroler domena <DC>. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2261497.

Nalog tiketa za uslugu: <nalog>

Domen tiketa usluge: <domen>

Ime radne baze podataka: <ime računara>

Ovaj događaj se generiše svaki put kada Netlogon nije mogao da dovrši prijavljivanje mrežnih tiketa zato što kontrolor domena nije razumeo promene. Zbog ograničenja Netlogon protokola, Netlogon klijent ne može da utvrdi da li kontroler domena sa kog Klijent za Netlogon razgovara direktno jeste taj koji ne razume promene ili je to kontroler domena u lancu prosleđivanja koji ne razume promene.

  • Ako je domen tiketa usluge isti kao domen naloga računara, verovatno kontroler domena u evidenciji događaja ne razume tok prijavljivanja mrežnih tiketa.

  • Ako se domen tiketa usluge razlikuje od domena naloga računara, jedan od kontrolera domena na putu od domena računara do domena naloga usluge nije razumeo tok prijavljivanja mrežnih tiketa

Ovaj događaj je podrazumevano isključen. Microsoft preporučuje da korisnici prvo ažuriraju ceo flotu pre uključivanja događaja.

Ovaj događaj se evidentira kada je svojstvo AuditKerberosTicketLogonEvents postavljeno na (2).

Najčešća pitanja (FAQ)

Kontroler domena koji nije ažuriran neće prepoznati ovu novu strukturu zahteva. To će dovesti do neuspeha bezbednosne provere. U režimu kompatibilnosti koristiće se stara struktura zahteva. Ovaj scenario je i dalje ranjiv na CVE-2024-26248 i CVE-2024-29056.

Da. To je zbog toga što novi tok prijavljivanja mrežnih tiketa možda mora da se usmera preko domena da bi dosegao domen naloga usluge.

PAC provera valjanosti može biti preskočena u određenim okolnostima, uključujući, ali ne ograničavajući se na sledeće scenarije:

  • Ako usluga ima TCB privilegiju. Usluge pokrenute u kontekstu SYSTEM naloga (kao što su deljene datoteke SMB ili LDAP serveri) obično imaju ovu privilegiju.

  • Ako se usluga pokreće iz planra zadataka.

U suprotnom, PAC validacija se izvršava na svim dolaznim Kerberos tocima potvrde identiteta.

Ovi CV-ovi uključuju lokalno podizanja privilegija gde zlonamerni ili ugroženi nalog usluge pokrenut na Windows workstation pokušava da podiže privilegiju da bi stekao lokalna prava administracije. To znači da će to uticati samo na Windows Workstation prihvatanje dolazne Kerberos potvrde identiteta.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost