I denna artikel

Sammanfattning

Windows-uppdateringarna från 8 november 2022 och senare åtgärdar säkerhetsförflyttningar och säkerhetsrisk med autentiseringsförhandlingar med svag RC4-HMAC-förhandling.

Den här uppdateringen anger AES som standardkrypteringstyp för sessionsnycklar på konton som inte redan har en standardkrypteringstyp. 

För att skydda din miljö installerar du Windows-uppdateringen från 8 november 2022 eller en senare Windows-uppdatering på alla enheter, inklusive domänkontrollanter.  

Mer information om dessa sårbarheter finns i CVE-2022-37966.

Upptäcka explicit ange typer av sessionsnyckelkryptering

Du kan uttryckligen ha definierat krypteringstyper på dina användarkonton som är sårbara för CVE-2022-37966. Leta efter konton där DES/RC4 uttryckligen är aktiverat men inte AES med följande Active Directory-fråga:

  • Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Kända problem

  • Kerberos-autentiseringen misslyckas om RC4 tas bort som en krypteringstyp som stöds för användarkonton, datorkonton, tjänstkonton och grupphanterade tjänstkonton (gMSAs) efter installation av Windows-uppdateringar den 8 november 2022 eller senare på Windows-domänkontrollanter. 
    Observera Kunder kan också minimera problemet genom att lägga till RC4 som en krypteringstyp som stöds för berörda konton.

Registernyckelinställningar

När Windows-uppdateringarna från den 8 november 2022 eller senare har installerats är följande registernycklar tillgängliga för Kerberos-protokollet:

Konfigurerbart värde för att ange vilken standardkrypteringstyp som stöds för en Active Directory-användare eller -dator om deras ms-DS-SupportedEncryptionType-attribut inte har angetts.

Registernyckel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC

Värde

DefaultDomainSupportedEncTypes

Datatyp

REG_DWORD

Standardvärdet

0x27

Krävs en omstart?

Nej

Obs! Om registernyckeln inte redan har angetts förutsätter den här uppdateringen att värdet är inställt på 0x27.  

Information om vilka krypteringstyper som stöds som du kan ställa in manuellt finns i Bitflaggor för krypteringstyper som stöds

Windows-händelser relaterade till CVE-2022-37966

Kerberos Key Distrbution Center saknar starka nycklar för kontot

Händelselogg

System

Händelsetyp

Fel

Händelsekälla

Kdcsvc

Händelse-ID

42

Händelsetext

Kerberos Key Distribution Center saknar starka nycklar för konto: kontonamn. Du måste uppdatera lösenordet för det här kontot för att förhindra användning av osäker kryptografi. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2210019.

Om du hittar det här felet måste du antagligen återställa ditt krbtgt-lösenord. Mer information om hur du gör detta finns iNew-KrbtgtKeys.ps1 på GitHub-webbplatsen.

Vanliga frågor och svar

Konton som har flaggats för explicit RC4-användning kan vara sårbara. Dessutom kan miljöer som inte har AES-sessionsnycklar i krbgt vara sårbara. För att minimera följer du anvisningarna för hur du identifierar sårbarheter och använder avsnittet Registernyckelinställning för att uppdatera explicit inställda krypteringsstandarder.

Ordlista

AES (Advanced Encryption Standard) är ett blockkrypteringskrypteringsstandard (DES). AES kan användas för att skydda elektroniska data. AES-algoritmen kan användas för att kryptera (chiffrera) och dekryptera (dechiffrera) information. Kryptering konverterar data till en icke-begriplig form som kallas chiffertext; när du dekrypterar chiffertexten konverteras data tillbaka till dess ursprungliga form, så kallad oformaterad text. AES används i symmetrisk nyckelkryptografi, vilket innebär att samma nyckel används för krypterings- och dekrypteringsåtgärderna. Det är också ett block chiffer, vilket innebär att det fungerar på block med fast storlek av oformaterad text och chiffertext, och kräver att storleken på oformaterad text samt chiffertexten är en exakt multipel av denna blockstorlek. AES kallas även rijndael symmetrisk krypteringsalgoritm [FIPS197].

Kerberos är ett protokoll för datornätverksautentisering som fungerar baserat på "biljetter" för att noder som kommunicerar via ett nätverk ska kunna bevisa sin identitet för varandra på ett säkert sätt.

Kerberos-tjänsten som implementerar de tjänster för autentisering och biljettgivande som anges i Kerberos-protokollet. Tjänsten körs på datorer som valts av administratören för sfären eller domänen. den finns inte på alla datorer i nätverket. Den måste ha åtkomst till en kontodatabas för den sfär som den tjänar. KDC:er är integrerade i rollen domänkontrollant. Det är en nätverkstjänst som levererar biljetter till kunder för användning vid autentisera till tjänster.

RC4-HMAC (RC4) är en symmetrisk krypteringsalgoritm med variabel nyckellängd. Mer information finns i [SCHNEIER] avsnitt 17.1.

En relativt kortlivad symmetrisk nyckel (en kryptografisk nyckel som förhandlats fram av klienten och servern baserat på en delad hemlighet). Livslängden för sessionsnycklar begränsas av den session som den är associerad till. En sessionsnyckel måste vara tillräckligt stark för att klara kryptografi under sessionens livslängd.

En särskild typ av biljett som kan användas för att få andra biljetter. Biljettbeviljande biljett (TGT) erhålls efter den första autentiseringen i autentiseringstjänstens (AS) utbyte; därefter behöver inte användarna presentera sina autentiseringsuppgifter, men kan använda TGT för att få efterföljande biljetter.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?

Tack för din feedback!

×