KB5008380 – Autentiseringsuppdateringar (CVE-2021-42287)

Sammanfattning

CVE-2021-42287 åtgärdar en säkerhetsrisk som påverkar Kerberos Privilege Attribute Certificate (PAC) och gör det möjligt för potentiella angripare att personifiera domänkontrollanter. Om du vill utnyttja den här säkerhetsrisken kan ett komprometterat domänkonto göra att nyckeldistributionscentret (KDC) skapar ett serviceärende med en högre behörighetsnivå än det komprometterade kontots. Det åstadkommer detta genom att förhindra KDC från att identifiera vilket konto som serviceärendet med högre behörighet är för.

Den förbättrade autentiseringsprocessen i CVE-2021-42287 lägger till ny information om den ursprungliga förfrågaren till PACs för Kerberos Ticket-Granting Tickets (TGT). När ett Kerberos-serviceärende genereras för ett konto verifierar den nya autentiseringsprocessen senare att det konto som begärde TGT är samma konto som anges i serviceärendet.

Efter installation av Windows-uppdateringar från 9 november 2021 eller senare läggs PAC:er till i TGT för alla domänkonton, även de som tidigare valde att avböja PACs.

Vidta åtgärder

Följ anvisningarna nedan för att skydda din miljö och undvika avbrott:

Uppdatera alla enheter som har active directory-domänkontrollantrollen genom att installera säkerhetsuppdateringen från 9 november 2021 och OOB-uppdateringen från 14 november 2021. Leta reda på OOB KB-numret för ditt operativsystem nedan.

Operativsystem	KB-nummer
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

När du har installerat säkerhetsuppdateringen från 9 november 2021 och OOB-uppdateringen från 14 november 2021 på alla Active Directory-domänkontrollanter i minst 7 dagar rekommenderar vi starkt att du aktiverar tvingande läge på alla Active Directory-domänkontrollanter.
Från och med den (uppdaterade) uppdateringen från 11 oktober 2022 kommer tillämpningsläget att vara aktiverat på alla Windows-domänkontrollanter och krävs.

Tidsinställning för Windows-uppdateringar – (Uppdaterad 23/1 31)

Dessa Windows Uppdateringar kommer att släppas i tre faser:

Inledande distribution – Introduktion av uppdateringen samt registernyckeln PacRequestorEnforcement
Andra distributionen – Borttagning av PacRequestorEnforcement-värdet 0 (möjlighet att inaktivera registernyckeln)
Tvingande fas – tvingande läge är aktiverat. Den här fasen tar bort PacRequestorEnforcement-nyckeln och läser den inte längre

9 november 2021: Inledande distributionsfas

Den första distributionsfasen börjar med Windows-uppdateringen som släpptes 9 november 2021. Den här versionen:

Ger skydd mot CVE-2021-42287
Lägger till stöd för registervärdet PacRequestorEnforcement , som gör att du kan gå över till tvingande fasen tidigt

Mitigation består av installation av Windows-uppdateringar på alla enheter som har rollen domänkontrollant och skrivskyddade domänkontrollanter (RODC).

12 juli 2022: Andra distributionsfasen

Den andra distributionsfasen börjar med Windows-uppdateringen som släpptes 12 juli 2022. Den här fasen tar bort PacRequestorEnforcement-inställningen för 0. Om du anger PacRequestorEnforcement till 0 efter att den här uppdateringen har installerats får du samma effekt som när du anger PacRequestorEnforcement till 1. Domänkontrollanterna (DCs) är i distributionsläge.

Observera Den här fasen är inte nödvändig om PacRequestorEnforcement aldrig var inställd på 0 i din miljö. Den här fasen hjälper till att säkerställa att kunder som ställer in PacRequestorEnforcement till 0går över till att ange 1 före tvingande fasen.

Obs! Den här uppdateringen förutsätter att alla domänkontrollanter uppdateras med Windows-uppdateringen från 9 november 2021 eller senare.

11 oktober 2022: Tillämpningsfas - (uppdaterad 23/1/31)

I versionen från 11 oktober 2022 förs alla Active Directory-domänkontrollanter över till tillämpningsfasen. Exekutionsfasen tar bort PacRequestorEnforcement-nyckeln och läser den inte längre. Det innebär att Windows domänkontrollanter som har installerat uppdateringen från 11 oktober 2022 inte längre är kompatibla med:

Domänkontrollanter som inte installerade uppdateringarna från 9 november 2021 eller senare.
Domänkontrollanter som installerade uppdateringarna från 9 november 2021 eller senare men ännu inte har installerat uppdateringen från 12 juli 2022 och som har registervärdet PacRequestorEnforcement på 0.

Windows-domänkontrollanter som har installerat uppdateringen från 11 oktober 2022 förblir dock kompatibla med:

Windows-domänkontrollanter som har installerat uppdateringarna från 11 oktober 2022 eller senare
Fönsterdomänkontrollanter som har installerat uppdateringarna^{9 november} 2021 eller senare och har ett PacRequestorEnforcement-värde eller antingen 1 eller 2

Registernyckelinformation

När du har installerat CVE-2021-42287-skydd i Windows-uppdateringar som släppts mellan 9 november 2021 och 14 juni 2022 är följande registernyckel tillgänglig:

Registerundernyckel	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Värde	PacRequestorEnforcement
Datatyp	REG_DWORD
Data	1: Lägg till den nya PAC-koden för användare som autentiserade med en Active Directory-domänkontrollant som har uppdateringarna från 9 november 2021 eller senare installerade. När du autentiserar valideras PAC om användaren har den nya PAC-versionen. Om användaren inte har den nya PAC:n vidtas inga ytterligare åtgärder. Active Directory-domänkontrollanter i det här läget är i distributionsfasen. 2: Lägg till den nya PAC-koden för användare som autentiserade med en Active Directory-domänkontrollant som har uppdateringarna från 9 november 2021 eller senare installerade. När du autentiserar valideras PAC om användaren har den nya PAC-versionen. Om användaren inte har den nya PAC-versionen nekas autentiseringen. Active Directory-domänkontrollanter i det här läget är i fasen Tvingande. 0: Inaktiverar registernyckeln. Rekommenderas inte. Active Directory-domänkontrollanter i det här läget är i inaktiverad fas. Det här värdet finns inte efter uppdateringarna från 12 juli 2022 eller senare. Viktigt Inställningen 0 är inte kompatibel med inställningen 2. Tillfälliga fel kan uppstå om båda inställningarna används i en skog. Om inställningen 0 används rekommenderar vi att du ändrar inställningen 0 (Inaktivera) till 1 (distribution) i minst en vecka innan du går över till inställningen 2 (tillämpningsläge).
Standard	1 (när registernyckeln inte har angetts)
Krävs en omstart?	Nej

Granskningshändelser

Windows-uppdateringen från 9 november 2021 lägger också till nya händelseloggar.

PAC utan attribut

KDC påträffar en TGT utan PAC-attributbufferten. Det är troligt att den andra KDC i loggarna inte innehåller uppdateringen eller är i inaktiverat läge.

Händelselogg	System
Händelsetyp	Varning
Händelsekälla	Microsoft-Windows-Kerberos-Key-Distribution-Center
Händelse-ID	35
Händelsetext	Nyckeldistributionscentret (KDC) stötte på en biljettbeviljande biljett (TGT) från en annan KDC ("<KDC Name>") som inte innehöll ett FÄLT för PAC-attribut.

Biljett utan PAC

KDC stöter på en TGT eller annan bevisbiljett utan PAC. Detta hindrar KDC från att tillämpa säkerhetskontroller på biljetten.

Händelselogg	System
Händelsetyp	Varning under distributionsfasen Fel under tvingande fas
Händelsekälla	Microsoft-Windows-Kerberos-Key-Distribution-Center
Händelse-ID	36
Händelsetext	Key Distribution Center (KDC) stötte på en biljett som inte innehöll en PAC när en begäran om en annan biljett behandlades. Detta förhindrade säkerhetskontroller från att köras och kunde öppna säkerhetsrisker. Klient: <Domännamn>\<Användarnamn> Biljett till: <servicenamn>

Biljett utan requestor

KDC stöter på en TGT eller annan bevisbiljett utan PAC Requestor-bufferten. Det är troligt att den KDC som konstruerade PAC inte innehåller uppdateringen eller är i inaktiverat läge.

Observera I avsnittet Kända problem finns viktig information om händelse 37.

Händelselogg	System
Händelsetyp	Varning under distributionsfasen Fel under tvingande fas
Händelsekälla	Microsoft-Windows-Kerberos-Key-Distribution-Center
Händelse-ID	37
Händelsetext	Nyckeldistributionscentret (KDC) stötte på en biljett som inte innehöll information om kontot som begärde biljetten när en begäran om en annan biljett behandlades. Detta förhindrade säkerhetskontroller från att köras och kunde öppna säkerhetsrisker. Ticket PAC byggd av: <KDC Name> Klient: <Domännamn>\<klientnamn> Biljett till: <servicenamn>

Felmatchning för förfrågare

KDC stöter på en TGT eller annan bevisbiljett, och kontot som begärde TGT eller bevisbiljetten matchar inte det konto som servicebiljetten är byggd för.

Händelselogg	System
Händelsetyp	Fel
Händelsekälla	Microsoft-Windows-Kerberos-Key-Distribution-Center
Händelse-ID	38
Händelsetext	Nyckeldistributionscentret (KDC) stötte på en biljett som innehöll inkonsekvent information om kontot som begärde biljetten. Det kan innebära att kontot har bytt namn sedan biljetten utfärdades, vilket kan ha varit en del av ett försök till sårbarhet. Ticket PAC byggd av: <Kdc Name> Klient: <Domännamn>\<Användarnamn> Biljett till: <servicenamn> Begära KONTO-SID från Active Directory: <SID> Begära KONTO-SID från Ticket: <SID>

Kända problem

Symptom	Tillfällig lösning
Efter installation av Windows-uppdateringar som släpptes 9 november 2021 eller senare på domänkontrollanter kan vissa kunder se den nya granskningshändelse-ID 37 loggad efter vissa lösenordsinställningar eller ändringsåtgärder, till exempel: Uppdaterings- eller reparationskluster för redundanskluster CNO eller VCO Återställa en användares lösenord från Active Directory - användare och datorer-konsolen (dsa.msc) Skapa en ny användare från Active Directory - användare och datorer-konsolen (dsa.msc) Ändra lösenord för tredje parts, domänanslutna enheter Om du inte ser händelse-ID 37 efter installation av Windows-uppdateringar som släpptes 9 november 2021 eller senare under en vecka och PacRequestorEnforcement är antingen "1" eller "2", påverkas inte din miljö. Om du anger PacRequestorEnforcement = 1 loggas händelse-ID 37 som en varning, men begäranden om lösenordsändring lyckas och påverkar inte användarna. Om du anger PacRequestorEnforcement = 2 misslyckas begäranden om lösenordsändring och gör att åtgärderna som anges ovan också misslyckas.	Det här problemet har åtgärdats i följande uppdateringar: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10 version 20H2, Windows 10 version 21H1 och Windows 10 version 21H2 – KB5011543 Windows 10 version 1809 och Windows Server 2019 – KB5011551 Windows 10 version 1607 och Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Symptom

Tillfällig lösning

Efter installation av Windows-uppdateringar som släpptes 9 november 2021 eller senare på domänkontrollanter kan vissa kunder se den nya granskningshändelse-ID 37 loggad efter vissa lösenordsinställningar eller ändringsåtgärder, till exempel:

Uppdaterings- eller reparationskluster för redundanskluster CNO eller VCO
Återställa en användares lösenord från Active Directory - användare och datorer-konsolen (dsa.msc)
Skapa en ny användare från Active Directory - användare och datorer-konsolen (dsa.msc)
Ändra lösenord för tredje parts, domänanslutna enheter

Om du inte ser händelse-ID 37 efter installation av Windows-uppdateringar som släpptes 9 november 2021 eller senare under en vecka och PacRequestorEnforcement är antingen "1" eller "2", påverkas inte din miljö.

Om du anger PacRequestorEnforcement = 1 loggas händelse-ID 37 som en varning, men begäranden om lösenordsändring lyckas och påverkar inte användarna.

Om du anger PacRequestorEnforcement = 2 misslyckas begäranden om lösenordsändring och gör att åtgärderna som anges ovan också misslyckas.

Det här problemet har åtgärdats i följande uppdateringar:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10 version 20H2, Windows 10 version 21H1 och Windows 10 version 21H2 – KB5011543
Windows 10 version 1809 och Windows Server 2019 – KB5011551
Windows 10 version 1607 och Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Vanliga frågor och svar

F1 Vad händer om jag har en blandning av Active Directory-domänkontrollanter som uppdateras och inte uppdateras?

A1. En blandning av domänkontrollanter som uppdateras och inte uppdateras men som har standardvärdet för PacRequestorEnforcement-registernyckeln 1 är kompatibla med varandra. Microsoft avråder dock starkt från att ha domänkontrollanter som uppdateras och inte uppdateras i en miljö.

Q2 Vad händer om jag har en blandning av Active Directory-domänkontrollanter som har olika PacRequestorEnforcement-värden?

A2. En blandning av domänkontrollanter som har PacRequestorEnforcement-värdena 0 och 1 är kompatibla med varandra. En blandning av domänkontrollanter som har PacRequestorEnforcement-värdena 1 och 2 är kompatibla med varandra. En blandning av domänkontrollanter som har PacRequestorEnforcement-värdena 0 och 2 är inte kompatibla med varandra och kan orsaka tillfälliga fel. Mer information finns i avsnittet Registernyckelinformation.