UPPDATERAD den 14 mars 2023
Sammanfattning
CVE-2021-42287 åtgärdar en säkerhetsrisk som påverkar Kerberos Privilege Attribute Certificate (PAC) och gör det möjligt för potentiella angripare att personifiera domänkontrollanter. Om du vill utnyttja den här säkerhetsrisken kan ett komprometterat domänkonto göra att nyckeldistributionscentret (KDC) skapar ett serviceärende med en högre behörighetsnivå än det komprometterade kontots. Det åstadkommer detta genom att förhindra KDC från att identifiera vilket konto som serviceärendet med högre behörighet är för.
Den förbättrade autentiseringsprocessen i CVE-2021-42287 lägger till ny information om den ursprungliga förfrågaren till PACs för Kerberos Ticket-Granting Tickets (TGT). När ett Kerberos-serviceärende genereras för ett konto verifierar den nya autentiseringsprocessen senare att det konto som begärde TGT är samma konto som anges i serviceärendet.
Efter installation av Windows-uppdateringar från 9 november 2021 eller senare läggs PAC:er till i TGT för alla domänkonton, även de som tidigare valde att avböja PACs.
Vidta åtgärder
Följ anvisningarna nedan för att skydda din miljö och undvika avbrott:
-
Uppdatera alla enheter som har active directory-domänkontrollantrollen genom att installera säkerhetsuppdateringen från 9 november 2021 och OOB-uppdateringen från 14 november 2021. Leta reda på OOB KB-numret för ditt operativsystem nedan.
Operativsystem
KB-nummer
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
-
När du har installerat säkerhetsuppdateringen från 9 november 2021 och OOB-uppdateringen från 14 november 2021 på alla Active Directory-domänkontrollanter i minst 7 dagar rekommenderar vi starkt att du aktiverar tvingande läge på alla Active Directory-domänkontrollanter.
-
Från och med den (uppdaterade) uppdateringen från 11 oktober 2022 kommer tillämpningsläget att vara aktiverat på alla Windows-domänkontrollanter och krävs.
Tidsinställning för Windows-uppdateringar – (Uppdaterad 23/1 31)
Dessa Windows Uppdateringar kommer att släppas i tre faser:
-
Inledande distribution – Introduktion av uppdateringen samt registernyckeln PacRequestorEnforcement
-
Andra distributionen – Borttagning av PacRequestorEnforcement-värdet 0 (möjlighet att inaktivera registernyckeln)
-
Tvingande fas – tvingande läge är aktiverat. Den här fasen tar bort PacRequestorEnforcement-nyckeln och läser den inte längre
9 november 2021: Inledande distributionsfas
Den första distributionsfasen börjar med Windows-uppdateringen som släpptes 9 november 2021. Den här versionen:
-
Ger skydd mot CVE-2021-42287
-
Lägger till stöd för registervärdet PacRequestorEnforcement , som gör att du kan gå över till tvingande fasen tidigt
Mitigation består av installation av Windows-uppdateringar på alla enheter som har rollen domänkontrollant och skrivskyddade domänkontrollanter (RODC).
12 juli 2022: Andra distributionsfasen
Den andra distributionsfasen börjar med Windows-uppdateringen som släpptes 12 juli 2022. Den här fasen tar bort PacRequestorEnforcement-inställningen för 0. Om du anger PacRequestorEnforcement till 0 efter att den här uppdateringen har installerats får du samma effekt som när du anger PacRequestorEnforcement till 1. Domänkontrollanterna (DCs) är i distributionsläge.
Observera Den här fasen är inte nödvändig om PacRequestorEnforcement aldrig var inställd på 0 i din miljö. Den här fasen hjälper till att säkerställa att kunder som ställer in PacRequestorEnforcement till 0går över till att ange 1 före tvingande fasen.
Obs! Den här uppdateringen förutsätter att alla domänkontrollanter uppdateras med Windows-uppdateringen från 9 november 2021 eller senare.
11 oktober 2022: Tillämpningsfas - (uppdaterad 23/1/31)
I versionen från 11 oktober 2022 förs alla Active Directory-domänkontrollanter över till tillämpningsfasen. Exekutionsfasen tar bort PacRequestorEnforcement-nyckeln och läser den inte längre. Det innebär att Windows domänkontrollanter som har installerat uppdateringen från 11 oktober 2022 inte längre är kompatibla med:
-
Domänkontrollanter som inte installerade uppdateringarna från 9 november 2021 eller senare.
-
Domänkontrollanter som installerade uppdateringarna från 9 november 2021 eller senare men ännu inte har installerat uppdateringen från 12 juli 2022 och som har registervärdet PacRequestorEnforcement på 0.
Windows-domänkontrollanter som har installerat uppdateringen från 11 oktober 2022 förblir dock kompatibla med:
-
Windows-domänkontrollanter som har installerat uppdateringarna från 11 oktober 2022 eller senare
-
Fönsterdomänkontrollanter som har installerat uppdateringarna9 november 2021 eller senare och har ett PacRequestorEnforcement-värde eller antingen 1 eller 2
Registernyckelinformation
När du har installerat CVE-2021-42287-skydd i Windows-uppdateringar som släppts mellan 9 november 2021 och 14 juni 2022 är följande registernyckel tillgänglig:
Registerundernyckel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Värde |
PacRequestorEnforcement |
Datatyp |
REG_DWORD |
Data |
1: Lägg till den nya PAC-koden för användare som autentiserade med en Active Directory-domänkontrollant som har uppdateringarna från 9 november 2021 eller senare installerade. När du autentiserar valideras PAC om användaren har den nya PAC-versionen. Om användaren inte har den nya PAC:n vidtas inga ytterligare åtgärder. Active Directory-domänkontrollanter i det här läget är i distributionsfasen. 2: Lägg till den nya PAC-koden för användare som autentiserade med en Active Directory-domänkontrollant som har uppdateringarna från 9 november 2021 eller senare installerade. När du autentiserar valideras PAC om användaren har den nya PAC-versionen. Om användaren inte har den nya PAC-versionen nekas autentiseringen. Active Directory-domänkontrollanter i det här läget är i fasen Tvingande. 0: Inaktiverar registernyckeln. Rekommenderas inte. Active Directory-domänkontrollanter i det här läget är i inaktiverad fas. Det här värdet finns inte efter uppdateringarna från 12 juli 2022 eller senare. Viktigt Inställningen 0 är inte kompatibel med inställningen 2. Tillfälliga fel kan uppstå om båda inställningarna används i en skog. Om inställningen 0 används rekommenderar vi att du ändrar inställningen 0 (Inaktivera) till 1 (distribution) i minst en vecka innan du går över till inställningen 2 (tillämpningsläge). |
Standard |
1 (när registernyckeln inte har angetts) |
Krävs en omstart? |
Nej |
Granskningshändelser
Windows-uppdateringen från 9 november 2021 lägger också till nya händelseloggar.
PAC utan attribut
KDC påträffar en TGT utan PAC-attributbufferten. Det är troligt att den andra KDC i loggarna inte innehåller uppdateringen eller är i inaktiverat läge.
Händelselogg |
System |
Händelsetyp |
Varning |
Händelsekälla |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Händelse-ID |
35 |
Händelsetext |
Nyckeldistributionscentret (KDC) stötte på en biljettbeviljande biljett (TGT) från en annan KDC ("<KDC Name>") som inte innehöll ett FÄLT för PAC-attribut. |
Biljett utan PAC
KDC stöter på en TGT eller annan bevisbiljett utan PAC. Detta hindrar KDC från att tillämpa säkerhetskontroller på biljetten.
Händelselogg |
System |
Händelsetyp |
Varning under distributionsfasen Fel under tvingande fas |
Händelsekälla |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Händelse-ID |
36 |
Händelsetext |
Key Distribution Center (KDC) stötte på en biljett som inte innehöll en PAC när en begäran om en annan biljett behandlades. Detta förhindrade säkerhetskontroller från att köras och kunde öppna säkerhetsrisker. Klient: <Domännamn>\<Användarnamn> Biljett till: <servicenamn> |
Biljett utan requestor
KDC stöter på en TGT eller annan bevisbiljett utan PAC Requestor-bufferten. Det är troligt att den KDC som konstruerade PAC inte innehåller uppdateringen eller är i inaktiverat läge.
Observera I avsnittet Kända problem finns viktig information om händelse 37.
Händelselogg |
System |
Händelsetyp |
Varning under distributionsfasen Fel under tvingande fas |
Händelsekälla |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Händelse-ID |
37 |
Händelsetext |
Nyckeldistributionscentret (KDC) stötte på en biljett som inte innehöll information om kontot som begärde biljetten när en begäran om en annan biljett behandlades. Detta förhindrade säkerhetskontroller från att köras och kunde öppna säkerhetsrisker. Ticket PAC byggd av: <KDC Name> Klient: <Domännamn>\<klientnamn> Biljett till: <servicenamn> |
Felmatchning för förfrågare
KDC stöter på en TGT eller annan bevisbiljett, och kontot som begärde TGT eller bevisbiljetten matchar inte det konto som servicebiljetten är byggd för.
Händelselogg |
System |
Händelsetyp |
Fel |
Händelsekälla |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Händelse-ID |
38 |
Händelsetext |
Nyckeldistributionscentret (KDC) stötte på en biljett som innehöll inkonsekvent information om kontot som begärde biljetten. Det kan innebära att kontot har bytt namn sedan biljetten utfärdades, vilket kan ha varit en del av ett försök till sårbarhet. Ticket PAC byggd av: <Kdc Name> Klient: <Domännamn>\<Användarnamn> Biljett till: <servicenamn> Begära KONTO-SID från Active Directory: <SID> Begära KONTO-SID från Ticket: <SID> |
Kända problem
Symptom |
Tillfällig lösning |
---|---|
Efter installation av Windows-uppdateringar som släpptes 9 november 2021 eller senare på domänkontrollanter kan vissa kunder se den nya granskningshändelse-ID 37 loggad efter vissa lösenordsinställningar eller ändringsåtgärder, till exempel:
Om du inte ser händelse-ID 37 efter installation av Windows-uppdateringar som släpptes 9 november 2021 eller senare under en vecka och PacRequestorEnforcement är antingen "1" eller "2", påverkas inte din miljö. Om du anger PacRequestorEnforcement = 1 loggas händelse-ID 37 som en varning, men begäranden om lösenordsändring lyckas och påverkar inte användarna. Om du anger PacRequestorEnforcement = 2 misslyckas begäranden om lösenordsändring och gör att åtgärderna som anges ovan också misslyckas. |
Det här problemet har åtgärdats i följande uppdateringar:
|
Vanliga frågor och svar
F1 Vad händer om jag har en blandning av Active Directory-domänkontrollanter som uppdateras och inte uppdateras?
A1. En blandning av domänkontrollanter som uppdateras och inte uppdateras men som har standardvärdet för PacRequestorEnforcement-registernyckeln 1 är kompatibla med varandra. Microsoft avråder dock starkt från att ha domänkontrollanter som uppdateras och inte uppdateras i en miljö.
Q2 Vad händer om jag har en blandning av Active Directory-domänkontrollanter som har olika PacRequestorEnforcement-värden?
A2. En blandning av domänkontrollanter som har PacRequestorEnforcement-värdena 0 och 1 är kompatibla med varandra. En blandning av domänkontrollanter som har PacRequestorEnforcement-värdena 1 och 2 är kompatibla med varandra. En blandning av domänkontrollanter som har PacRequestorEnforcement-värdena 0 och 2 är inte kompatibla med varandra och kan orsaka tillfälliga fel. Mer information finns i avsnittet Registernyckelinformation.