Rezime
Ispravke od 11. januara 2022. Windows. a kasnije Windows ispravke dodaju zaštitu za CVE-2022-21913.
Kada instalirate ispravke za 11. januar 2022. Windows ili novije Windows ispravke, napredno šifrovanje standarda za šifrovanje (AES) biće postavljeno kao željeni metod šifrovanja za Windows klijente kada koristite zadati lokalni autoritet za bezbednost (smernice domena) (MS-LSAD) protokol za operacije lozinke objekta pouzdanog domena koje se šalju preko mreže. To važi samo ako server podržava AES šifrovanje. Ako server ne podržava AES šifrovanje, sistem će omogućiti povratnu informaciju o zatamnjenom RC4 šifrovanju.
Promene u CVE-2022-21913 specifične su za MS-LSAD protokol. Oni su nezavisni od drugih protokola. MS-LSAD koristi server message Block (SMB) preko poziva udaljene procedure
(RPC) i imenovane cevi. Iako SMB takođe podržava šifrovanje, on podrazumevano nije omogućen. Promene u predodeljcima CVE-2022-21913 podrazumevano su omogućene i pružaju dodatnu bezbednost na LSAD sloju. Dodatne promene konfiguracije nisu potrebne posle instaliranja zaštita za CVE-2022-21913 koje su uključene u ispravke od 11. januara 2022. Windows. i novije Windows ispravke za sve podržane verzije programa Windows. Nepodržane verzije programa Windows se obustave ili nadograde na podržanu verziju.
Napomogućavanje CVE-2022-21913 menja samo način na koji se lozinke od poverenja šifruju u prenosu kada koristiteodređene APIT-ove MS-LSAD protokola i tačnije ne menjaju način na koji se lozinke skladište dok se čuvaju. Dodatne informacije o tome kako se lozinke šifruju dok se drže u aktivnom direktorijumu i lokalno u SAM bazi podataka (registratoru), pogledajte tehnički pregled lozinki.
Više informacija
Promene napravljene od 11. januara 2022. do ispravki
-
Obrazac objekta smernice
Ispravke menjaju obrazac objekta smernica protokola tako što dodaju novi metod otvorenih smernica koji klijentu i serveru omogućava da dele informacije o AES podršci.Stari metod koji koristi RC4
Novi metod korišćenja AES-a
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Kompletnu listu opnuma MS-LSAR protokola možete da vidite u [MS-LSAD]:Događaji obrade poruka i Pravila sekvencija.
-
Trusted Domain Object pattern
Ispravke menjaju obrazac objekta pouzdanog domena Kreiranje obrasca protokola dodavanjem novog metoda za kreiranje poverenja koje će koristiti AES za šifrovanje podataka o potvrdi identiteta.
LsaCreateTrustedDomainEx API sada više voli novi metod ako se klijent i server ažuriraju i u suprotnom vrate na stariji metod.
Stari metod koji koristi RC4
Novi metod korišćenja AES-a
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Ispravke menjaju obrazac skupa objekata pouzdanog domena protokola tako što dodaju dva nova Trusted Information Classes u LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49) metode. Informacije o objektu pouzdanog domena možete da podesite na sledeći nalog.
Stari metod koji koristi RC4
Novi metod korišćenja AES-a
LsarSetInformationTrustedDomain (Opnum 27) zajedno sa TrustedDomainAuthInformationInternal ili TrustedDomainFullInformationInternal (čuva šifrovanu lozinku za pouzdanost koja koristi RC4)
LsarSetInformationTrustedDomain (Opnum 27) zajedno sa TrustedDomainAuthInformationInternalAes ili TrustedDomainFullInformationAes (čuva šifrovanu lozinku za pouzdanost koja koristi AES)
LsarSetTrustedDomainInfoByName (Opnum 49) zajedno sa trustedDomainAuthInformationInternal ili TrustedDomainFullInformationInternal (čuva šifrovanu lozinku za pouzdanost koja koristi RC4 i sve ostale atribute)
LsarSetTrustedDomainInfoByName (Opnum 49) zajedno sa trustedDomainAuthInformationInternalAes ili TrustedDomainFullInformationInternalAes (čuva šifrovanu lozinku za pouzdanost koja koristi AES i sve ostale atribute)
Kako funkcioniše novo ponašanje
Postojeći LsarOpenPolicy2 metod obično se koristi za otvaranje kontekstualnog regulatora za RPC server. Ovo je prva funkcija koja mora biti pozvana da se obrati bazi podataka lokalnog autoriteta za bezbednost (smernice domena) Remote Protocol baze podataka. Kada instalirate te ispravke, metod LsarOpenPolicy2 zamenio je novi LsarOpenPolicy3 metod.
Ažurirani klijent koji poziva LsaOpenPolicy API će sada prvo pozvati metod LsarOpenPolicy3. Ako server nije ažuriran i ne primenjuje LsarOpenPolicy3 metod, klijent se vraća na metod LsarOpenPolicy2 i koristi prethodne metode koji koriste RC4 šifrovanje.
Ažurirani server će vratiti novi bit u odgovoru na LsarOpenPolicy3 metod, kao što je definisano u LSAPR_REVISION_INFO_V1. Dodatne informacije potražite u odeljcima "AES korišćenje ciphera" i "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" u MS-LSAD.
Ako server podržava AES, klijent će koristiti nove metode i nove klase informacija za naredne operacije "kreiranje" i "podešavanje" pouzdanog domena. Ako server ne vrati ovu zastavicu ili ako klijent nije ažuriran, klijent će ponovo koristiti prethodne metode koji koriste RC4 šifrovanje.
Evidentiranje događaja
11. januar 2022. ispravke dodaju novi događaj u evidenciju bezbednosnih događaja da bi se identifikovali uređaji koji nisu ažurirani i da bi se poboljšala bezbednost.
|
Vrednost |
Značenje |
|---|---|
|
Izvor događaja |
Microsoft-Windows-Security |
|
ID događaja |
6425 |
|
Nivo |
Informacije |
|
Tekst poruke o događaju |
Mrežni klijent je koristio zatamnjeni RPC metod za izmenu informacija o potvrdi identiteta na objektu pouzdanog domena. Informacije o potvrdi identiteta šifrovane su zatamnjenim algoritmom šifrovanja. Razmotrite nadogradnju operativnog sistema klijenta ili aplikacije da biste koristili najnoviju i bezbedniju verziju ovog metoda. Pouzdani domen:
Izmenio:
Mrežna adresa klijenta: Dodatne informacije potražite u https://go.microsoft.com/fwlink/?linkid=2161080. |
Najčešća pitanja (najčešća pitanja)
P1: Koji scenariji mogu da izazovu prelaženje sa AES na RC4?
A1: Do prelaska nadole dolazi ako server ili klijent ne podržavaju AES.
P2: Kako da znam da li je RC4 šifrovanje ili AES šifrovanje bilo pregovarano?
A2: Ažurirani serveri će evidentiranje događaja 6425 kada se koriste zatamnjeni metodi koji koriste RC4.
P3: Mogu li da zahtevam AES šifrovanje na serveru i da li će se Windows ispravke programski primeniti pomoću AES?
A3: Trenutno nije dostupan režim sprovođenja. Međutim, moguće je da će to biti u budućnosti, iako takva promena nije planirana.
4: Da li nezavisni klijenti podržavaju zaštitu za CVE-2022-21913 da po sporazumu o AES-u kada je podržana od strane servera? Da li treba da se obratim Microsoft podršci ili timu za podršku nezavisnog dobavljača da bih rešio ovo pitanje?
A4: Ako uređaj ili aplikacija nezavisnog proizvođača ne koristi MS-LSAD protokol, to nije važno. Nezavisni dobavljači koji primenjuju MS-LSAD protokol mogu da odaberu da primene ovaj protokol. Za više informacija obratite se nezavisnom prodavcu.
5: Da li treba da se promene dodatne konfiguracije?
A5: Nisu potrebne dodatne promene konfiguracije.
6: Šta koristi ovaj protokol?
A6: MS-LSAD protokol koriste mnogi Windows komponenti, uključujući Active Directory i alatke kao što su Active Directory domeni i konzola "Poverenja". Aplikacije takođe mogu da koriste ovaj protokol putem Advapi32 API-ja biblioteke, kao što su LsaOpenPolicy iliLsaCreateTrustedDomainEx.
