Sammanfattning
I uppdateringarna från den 11 januari 2022 Windows och senare Windows-uppdateringar skydd för CVE-2022-21913.
När du har installerat uppdateringarna från den 11 januari 2022 i Windows eller senare Windows-uppdateringar ställs AES-kryptering (Advanced Encryption Standard) in som den rekommenderade krypteringsmetoden för Windows-klienter när du använder den äldre lokala säkerhetsutfärdaren (Domain Policy) (MS-LSAD) för lösenordsåtgärder för betrodda domänobjekt som skickas via ett nätverk. Det här gäller bara om AES-kryptering stöds av servern. Om AES-kryptering inte stöds av servern tillåter systemet reserver för den äldre RC4-krypteringen.
Ändringar i CVE-2022-21913 är specifika för MS-LSAD-protokollet. De är oberoende av andra protokoll. MS-LSAD använder Server Message Block (SMB) över fjärrprocedursamtal
(RPC) och namngivna rör. Även om SMB också har stöd för kryptering är det inte aktiverat som standard. Som standard är ändringarna i CVE-2022-21913 aktiverade och ger ytterligare säkerhet i LSAD-lagret. Inga ytterligare konfigurationsändringar krävs utöver att installera skydden för CVE-2022-21913 som ingår i uppdateringarna från 11 januari 2022, Windows och senare Windows-uppdateringar för alla versioner av Windows som stöds. Versioner av versioner av Windows ska ha utgått eller uppgraderats till en version som stöds.
Obs! CVE-2022-21913 ändrar bara hur förtroendelösenord krypteras under överföringen när du använder specifika API:er för MS-LSAD-protokollet, och specifikt ändrar inte hur lösenord lagras i vila. Mer information om hur lösenord krypteras i vila i Active Directory och lokalt i SAM-databasen (registret) finns i Den tekniska översikten över lösenord.
Mer information
Ändringar som gjorts i uppdateringarna från 11 januari 2022
-
Policy-objektmönster
Uppdateringarna ändrar protokollets policyobjektmönster genom att lägga till en ny Open Policy-metod som gör att klienten och servern kan dela information om AES-stöd.Gammal metod med RC4
Ny metod med AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
En fullständig lista över opnumer för MS-LSAR-protokoll finns i [MS-LSAD]:Meddelandebearbetningshändelser och Sekventringsregler.
-
Mönster för betrodda domänobjekt
Uppdateringarna ändrar protokollets mönster Skapa betrodda domänobjekt genom att lägga till en ny metod för att skapa ett förtroende som använder AES för att kryptera autentiseringsdata.
API:t LsaCreateTrustedDomainEx kommer nu att föredra den nya metoden om både klienten och servern uppdateras och faller tillbaka till den äldre metoden annars.
Gammal metod med RC4
Ny metod med AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Uppdateringarna ändrar protokollets mönster för objektuppsättningen betrodd domän genom att lägga till två nya trusted information classes till LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName-metoder (Opnum 49). Du kan ange information om betrodda domäner på följande sätt.
Gammal metod med RC4
Ny metod med AES
LsarSetInformationTrustedDomain (Opnum 27) tillsammans med TrustedDomainAuthInformationInternal eller TrustedDomainFullInformationInternal (innehåller ett krypterat förtroendelösenord som använder RC4)
LsarSetInformationTrustedDomain (Opnum 27) tillsammans med TrustedDomainAuthInformationInternalAes eller TrustedDomainFullInformationAes (innehåller ett krypterat förtroendelösenord som använder AES)
LsarSetTrustedDomainInfoByName (Opnum 49) tillsammans med TrustedDomainAuthInformationInternal eller TrustedDomainFullInformationInternal (innehåller ett krypterat förtroendelösenord som använder RC4 och alla andra attribut)
LsarSetTrustedDomainInfoByName (Opnum 49) tillsammans med TrustedDomainAuthInformationInternalAes eller TrustedDomainFullInformationInternalAes (innehåller ett krypterat förtroendelösenord som använder AES och alla andra attribut)
Så här fungerar det nya beteendet
Den befintliga LsarOpenPolicy2-metoden används vanligtvis för att öppna ett kontexthandtag till RPC-servern. Det här är den första funktionen som måste anropas för att kontakta den lokala säkerhetsservern (Domain Policy) Remote Protocol-databasen. När du har installerat uppdateringarna ersätts metoden LsarOpenPolicy2 av den nya LsarOpenPolicy3-metoden.
En uppdaterad klient som anropar LsaOpenPolicy API anropar nu LsarOpenPolicy3-metoden först. Om servern inte uppdateras och inte implementerar metoden LsarOpenPolicy3, hamnar klienten på metoden LsarOpenPolicy2 och använder tidigare metoder som använder RC4-kryptering.
En uppdaterad server returnerar en ny bit i LsarOpenPolicy3-metodsvaret, som definierats i LSAPR_REVISION_INFO_V1. Mer information finns i avsnitten "AES-chifferanvändning" och "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" i MS-LSAD.
Om servern har stöd för AES använder klienten de nya metoderna och de nya informationsklasserna för efterföljande betrodda domänåtgärder "skapa" och "set". Om servern inte returnerar den här flaggan, eller om klienten inte uppdateras, återgår klienten till att använda tidigare metoder där RC4-kryptering används.
Händelseloggning
11 januari 2022, uppdateringar lägger till en ny händelse i säkerhetshändelseloggen för att hjälpa till att identifiera enheter som inte uppdateras och för att förbättra säkerheten.
|
Värde |
Betydelse |
|---|---|
|
Händelsekälla |
Microsoft-Windows-Security |
|
Händelse-ID |
6425 |
|
Nivå |
Information |
|
Text i händelsemeddelande |
En nätverksklient använde en äldre RPC-metod för att ändra autentiseringsinformation i ett betrott domänobjekt. Autentiseringsinformationen krypterades med en äldre krypteringsalgoritm. Du kan uppgradera klientoperativsystemet eller programmet för att kunna använda den senaste och säkrare versionen av den här metoden. Betrodd domän:
Ändrad av:
Klientnätverksadress: Mer information finns i https://go.microsoft.com/fwlink/?linkid=2161080. |
Vanliga frågor och svar
F1: Vilka scenarier utlöser en nedgradering från AES till RC4?
A1: En nedgradering inträffar om servern eller klienten inte stöder AES.
F2: Hur kan jag avgöra om RC4-kryptering eller AES-kryptering har förhandlats fram?
A2: Uppdaterade servrar loggar händelse 6425 när äldre metoder som använder RC4 används.
F3: Kan jag kräva AES-kryptering på servern och kommer kommande uppdateringar Windows med hjälp av AES?
A3: Det finns för närvarande inget läge för tvingande någon tillämpning. Det kan dock finnas i framtiden, även om ingen sådan ändring är schemalagd.
F4: Stödjer tredjepartsklienter skydd för CVE-2022-21913 för att förhandla fram AES när de stöds av servern? Ska jag kontakta Microsoft Support eller supportteamet från tredje part för att ta itu med den här frågan?
A4: Om en enhet eller ett program från tredje part inte använder MS-LSAD-protokollet är detta inte viktigt. Tredjepartsleverantörer som implementerar MS-LSAD-protokollet kan välja att implementera det här protokollet. Kontakta tredjepartsleverantören om du vill ha mer information.
F5: Behöver du göra några ytterligare konfigurationsändringar?
A5: Inga ytterligare konfigurationsändringar krävs.
F6: Vad använder det här protokollet?
A6: MS-LSAD-protokollet används av många Windows komponenter, inklusive Active Directory och verktyg som konsolen Active Directory - domäner och förtroenden. Program kan också använda det här protokollet via advapi32-biblioteks-API:er, till exempel LsaOpenPolicyeller LsaCreateTrustedDomainEx.
