Sammanfattning

CVE-2021-42287 adresserar ett säkerhetsfördrång som påverkar Kerberos Privilege Attribute Certificate (PAC) och tillåter potentiella attacker att personifiera domänkontrollanter. För att utnyttja det här problemet kan ett komprometterat domänkonto göra att KDC (Key Distribution Center) skapar en tjänstärende med högre behörighetsnivå än det komprometterade kontot. Det gör du genom att förhindra KDC från att identifiera vilket konto tjänstärende med högre behörighet som gäller.

Den förbättrade autentiseringsprocessen i CVE-2021-42287 lägger till ny information om den ursprungliga beställaren på pacsna för Kerberos Ticket-Granting Tickets (TGT). När en Kerberos-tjänstbegäran senare skapas för ett konto verifierar den nya autentiseringsprocessen att det konto som begärde TGT är samma konto som det refererades till i tjänstbegäran.

När du Windows uppdateringar med den 9 november 2021 eller senare läggs PAC-datorer till i TGT för alla domänkonton, även de som tidigare valde att avböja pac.

Vidta åtgärder

Följ anvisningarna nedan för att skydda din miljö och undvika avbrott:

  1. Uppdatera alla enheter som har rollen Active Directory-domänkontrollant genom att installera uppdateringen från den 9 november 2021.

  2. Efter att uppdateringen från 9 november 2021 har installerats på alla domänkontrollanter för Active Directory i minst 7 dagar rekommenderar vi starkt att du aktiverar tillämpningsläget för alla Active Directory-domänkontrollanter.

  3. Från och med den 12 juli 2022, fasuppdateringen av tillämpning, aktiveras tillämpningsläget på alla Windows domänkontrollanter och kommer att krävas.

Tidsinställningar Windows uppdateringar

Dessa Windows uppdateringar kommer att släppas i tre faser:

  1. Första distribution – Introduktion av uppdateringen samt PacRequestorEnforcement-registernyckeln

  2. Andra distributionen – Borttagning av PacRequestorEnforcement-värdet 0 (möjligheten att inaktivera registernyckeln)

  3. Tillämpningsfas – Tillämpningsläge har aktiverats. Borttagning av PacRequestorEnforcement-registernyckel

9 november 2021: Fas för inledande distribution

Den första distributionsfasen startar med Windows uppdatering som släpptes den 9 november 2021. Den här versionen:

  • Ger skydd mot CVE-2021-42287

  • Lägger till stöd för PacRequestorEnforcement-registervärdet, vilket gör att du kan gå över till tillämpningsfasen tidigt

Minskningar består av installationen Windows uppdateringar på alla enheter som är värd för domänkontrollantrollen och skrivskyddade domänkontrollanter (DOMÄNKONTROLLANT).

12 april 2022: Andra distributionsfasen

Den andra distributionsfasen startar Windows uppdateringen som släpps den 12 april 2022. Den här fasen tar bort PacRequestorEnforcement-inställningen 0. Om du ställer in PacRequestorEnforcement på 0 när uppdateringen har installerats får du samma effekt som att ange PacRequestorEnforcement till 1. Domänkontrollanterna (DCs) är i distributionsläge.

Obs! Den här fasen behövs inte om PacRequestorEnforcement aldrig har ställts in på 0 i din miljö. Den här fasen säkerställer att kunder som ställer in PacRequestorEnforcement till 0 flyttar till inställningen 1 före tillämpningsfasen.

Obs! Den här uppdateringen förutsätter att alla domänkontrollanter är uppdaterade med uppdateringen från den 9 november 2021 Windows senare.

12 juli 2022: Tillämpningsfasen

I versionen från 12 juli 2022 övergår alla Active Directory-domänkontrollanter till tillämpningsfasen. Tillämpningsfasen tar också bort PacRequestorEnforcement-registernyckeln helt. Därför är Windows domänkontrollanter som har installerat uppdateringen från den 12 juli 2022 inte längre kompatibla med:

  • Domänkontrollanter som inte installerat uppdateringarna från den 9 november 2021 eller senare.

  • Domänkontrollanter som installerade uppdateringarna från 9 november 2021 eller senare men ännu inte har installerat uppdateringen från 12 april 2022 OCH som har ett PacRequestorEnforcement-registervärde på 0.

Men domänkontrollanter Windows har installerat uppdateringen från den 12 juli 2022 förblir dock kompatibla med:

  • Windows domänkontrollanter som har installerat uppdateringarna från 12 juli 2022 eller senare

  • Fönsterdomänkontrollanter som har installerat uppdateringarna från9november 2021 eller senare och har ett PacRequestorEnforcement-värde eller 1 eller 2

Registernyckelinformation

När du har installerat skydden för CVE-2021-42287 i Windows-uppdateringar som släpptes mellan den 9 november 2021 och den 14 juni 2022 blir följande registernyckel tillgänglig:

Registerundernyckel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Värde

PacRequestorEnforcement

Datatyp

REG_DWORD

Data

1: Lägg till det nya PAC-tillägget för användare som autentiserat med hjälp av en Active Directory-domänkontrollant som har uppdateringarna från 9 november 2021 eller senare installerade. Om användaren har det nya PAC-et valideras PAC vid autentisering. Om användaren inte har det nya PAC:t vidtas inga ytterligare åtgärder. Active Directory-domänkontrollanter i det här läget befinner sig i distributionsfasen.

2: Lägg till det nya PAC-tillägget för användare som autentiserat med hjälp av en Active Directory-domänkontrollant som har uppdateringarna från 9 november 2021 eller senare installerade. Om användaren har det nya PAC-et valideras PAC vid autentisering. Om användaren inte har det nya PAC-et nekas autentiseringen. Active Directory-domänkontrollanter i det här läget är i tillämpningsfasen.

0: Inaktiverar registernyckeln. Rekommenderas inte. Active Directory-domänkontrollanter i det här läget är i den inaktiverade fasen. Det här värdet finns inte efter uppdateringarna från den 12 april 2022 eller senare.

ViktigtInställningen 0 är inte kompatibel med inställningen 2. Oregelbundna fel kan uppstå om båda inställningarna används i en skog. Om du använder inställningen 0 rekommenderar vi att du flyttar över inställningen 0 (Inaktivera) till inställningen 1 (distribution) i minst en vecka innan du flyttar över till inställningen 2 (tillämpningsläge).

Standard

1 (när registernyckeln inte har angetts)

Krävs en omstart?

Nej

Granskningshändelser

I uppdateringen från den 9 november 2021 Windows även nya händelseloggar.

PAC utan attribut

KDC stöter på en TGT utan PAC-attributets buffert. Det är troligt att den andra KDC:n i loggarna inte innehåller uppdateringen eller är i inaktiverat läge.

Händelselogg

System

Händelsetyp

Varning

Händelsekälla

Kdcsvc

Händelse-ID

35

Händelsetext

I Key Distribution Center (KDC) påträffades en biljett som tillskrivs (TGT) från en annan KDC (KDC<Name>) som inte innehöll något PAC-attributfält. 

Biljett utan PAC

KDC stöter på en TGT eller andra bevis för en biljett utan ett PAC. Det förhindrar KDC att tillämpa säkerhetskontroller på biljetten.

Händelselogg

System

Händelsetyp

Varning under distributionsfasen

Fel under tillämpningsfasen

Händelsekälla

Kdcsvc

Händelse-ID

36

Händelsetext

I nyckeldistributionscentret (KDC) påträffades en biljett som inte innehöll något PAC-ärende vid bearbetningen av en annan biljett. Detta förhindrade säkerhetskontroller från att köras, vilket kan öppna säkerhetsproblem. 

Klient: <domännamn>\<användarnamn>

Biljett för: <Service Name>

Biljett utan beställare

KDC stöter på en TGT eller andra bevisbegäran utan PAC Requestor-bufferten. Det är troligt att KDC som konstruerat PAC-et inte innehåller uppdateringen eller är i inaktiverat läge.

Händelselogg

System

Händelsetyp

Varning under distributionsfasen

Fel under tillämpningsfasen

Händelsekälla

Kdcsvc

Händelse-ID

37

Händelsetext

I nyckeldistributionscentret (KDC) påträffades en biljett som inte innehöll information om det konto som begärde biljetten vid bearbetningen av en annan biljett. Detta förhindrade säkerhetskontroller från att köras, vilket kan öppna säkerhetsproblem. 

Ticket PAC uppbyggd av: <KDC>

 Klient: <Domain Name>\<Client Name>

Biljett för: <Service Name>

Felmatchning av begäran eller

KDC stöter på en TGT eller andra bevis biljett, och det konto som begärde TGT eller bevis bevis stämmer inte överens med det konto som tjänstärende är byggt för.

Händelselogg

System

Händelsetyp

Fel

Händelsekälla

Kdcsvc

Händelse-ID

38

Händelsetext

I nyckeldistributionscentret (KDC) påträffades en biljett som innehöll inkonsekvent information om kontot som begärde biljetten. Detta kan innebära att kontot har bytt namn sedan biljetten utfärdades, som kan ha varit en del av en försöken utnyttja. 

Ticket PAC uppbyggd av: <Kdc->

Klient: <domännamn>\<användarnamn>

Biljett för: <Service Name>

Begära konto-SID från Active Directory: <SID->

Begär konto-SID från Ticket: <SID>

Vanliga frågor och svar

F1 Vad händer om jag har en blandning av Active Directory-domänkontrollanter som är uppdaterade och inte uppdaterade?

A1. En blandning av domänkontrollanter som uppdateras och inte uppdateras men har standardnyckeln PacRequestorEnforcement på 1 är kompatibel med varandra. Microsoft avråder dock starkt från att ha domänkontrollanter som uppdateras och inte uppdateras i en miljö.

Q2 Vad händer om jag har en blandning av Active Directory-domänkontrollanter som har olika PacRequestorEnforcement-värden?

A2. En blandning av domänkontrollanter som har PacRequestorEnforcement-värden på 0 och 1 är kompatibla med varandra. En blandning av domänkontrollanter som har PacRequestorEnforcement-värden 1 och 2 är kompatibla med varandra. En blandning av domänkontrollanter som har PacRequestorEnforcement-värden på 0 och 2 är inte kompatibla med varandra och kan orsaka upprepade fel. Mer information finns i avsnittet Registernyckelinformation.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med översättningskvaliteten?
Vad påverkade din upplevelse?

Tack för din feedback!

×