Ändra logg
|
Ändring 1: 19 juni 2023:
|
I denna artikel
Sammanfattning
Windows-uppdateringarna som släpptes 8 november 2022 eller senare åtgärdar säkerhetsförflyttning och säkerhetsrisk med autentiseringsförhandlingar med svag RC4-HMAC-förhandling.
Den här uppdateringen anger AES som standardkrypteringstyp för sessionsnycklar på konton som inte redan har en standardkrypteringstyp.
För att skydda din miljö installerar du Windows-uppdateringar som släpptes den 8 november 2022 eller senare på alla enheter, inklusive domänkontrollanter. Se Ändra 1.
Mer information om dessa sårbarheter finns i CVE-2022-37966.
Upptäcka explicit ange typer av sessionsnyckelkryptering
Du kan uttryckligen ha definierat krypteringstyper på dina användarkonton som är sårbara för CVE-2022-37966. Leta efter konton där DES/RC4 uttryckligen är aktiverat men inte AES med följande Active Directory-fråga:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Registernyckelinställningar
När du har installerat Windows-uppdateringarna från 8 november 2022 eller senare är följande registernyckel tillgänglig för Kerberos-protokollet:
DefaultDomainSupportedEncTypes
|
Registernyckel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Värde |
DefaultDomainSupportedEncTypes |
|
Datatyp |
REG_DWORD |
|
Datavärde |
0x27 (standard) |
|
Krävs en omstart? |
Nej |
Obs! Om du måste ändra standardtypen kryptering som stöds för en Active Directory-användare eller -dator lägger du till och konfigurerar registernyckeln manuellt för att ange den nya krypteringstypen som stöds. Den här uppdateringen lägger inte automatiskt till registernyckeln.
Windows-domänkontrollanter använder det här värdet för att fastställa vilka krypteringstyper som stöds på konton i Active Directory vars msds-SupportedEncryptionType-värde antingen är tomt eller inte har angetts. En dator som kör en version av Windows som stöds ställer automatiskt in msds-SupportedEncryptionTypes för det datorkontot i Active Directory. Detta baseras på det konfigurerade värdet för krypteringstyper som Kerberos-protokollet tillåts använda. Mer information finns i Nätverkssäkerhet: Konfigurera krypteringstyper som tillåts för Kerberos.
Användarkonton, grupphanterade tjänstkonton och andra konton i Active Directory har inte värdet msds-SupportedEncryptionTypes inställt automatiskt.
Information om vilka krypteringstyper som stöds som du kan ställa in manuellt finns i Bitflaggor för krypteringstyper som stöds. Mer information finns i vad du bör göra först för att förbereda miljön och förhindra Kerberos-autentiseringsproblem.
Standardvärdet 0x27 (DES, RC4, AES-sessionsnycklar) har valts som den minsta ändringen som krävs för den här säkerhetsuppdateringen. Vi rekommenderar kunderna att ange värdet för 0x3C för ökad säkerhet eftersom det här värdet tillåter både AES-krypterade biljetter och AES-sessionsnycklar. Om kunderna har följt vår vägledning för att gå över till en miljö med endast AES där RC4 inte används för Kerberos-protokollet rekommenderar vi att kunderna anger värdet till 0x38. Se Ändra 1.
Windows-händelser relaterade till CVE-2022-37966
Kerberos Key Distribution Center saknar starka nycklar för kontot
|
Händelselogg |
System |
|
Händelsetyp |
Fel |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
42 |
|
Händelsetext |
Kerberos Key Distribution Center saknar starka nycklar för konto: kontonamn. Du måste uppdatera lösenordet för det här kontot för att förhindra användning av osäker kryptografi. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2210019. |
Om du hittar det här felet måste du förmodligen återställa ditt krbtgt-lösenord innan du anger KrbtgtFullPacSingature = 3, eller installera Windows Uppdateringar som släpptes den 11 juli 2023 eller senare. Uppdateringen som programmässigt aktiverar tvingande läge för CVE-2022-37967 finns dokumenterad i följande artikel i Microsoft Knowledge Base:
KB5020805: Så här hanterar du Kerberos protokolländringar relaterade till CVE-2022-37967
Mer information om hur du gör detta finns iNew-KrbtgtKeys.ps1 på GitHub-webbplatsen.
Vanliga frågor och svar och kända problem
Konton som har flaggats för explicit RC4-användning är sårbara. Dessutom kan miljöer som inte har AES-sessionsnycklar i krbgt-kontot vara sårbara. För att minimera det här problemet följer du anvisningarna för hur du identifierar sårbarheter och använder avsnittet Registernyckelinställning för att uppdatera explicit ange standardinställningar för kryptering.
Du måste kontrollera att alla dina enheter har en vanlig Kerberos-krypteringstyp. Mer information om Kerberos-krypteringstyper finns i Dekryptera val av Kerberos-krypteringstyper som stöds.
Miljöer utan en vanlig Kerberos-krypteringstyp kan tidigare ha fungerat på grund av att RC4 lagts till automatiskt eller genom att AES lades till, om RC4 inaktiverades via grupprincip av domänkontrollanter. Det här beteendet har ändrats med uppdateringarna som släpptes den 8 november 2022 eller senare och följer nu strikt vad som anges i registernycklarna, msds-SupportedEncryptionTypes och DefaultDomainSupportedEncTypes.
Om kontot inte har en msds-SupportedEncryptionTypes-uppsättning , eller om det är inställt på 0, antar domänkontrollanterna ett standardvärde på 0x27 (39) eller domänkontrollanten använder inställningen i registernyckeln DefaultDomainSupportedEncTypes.
Om kontot har msds-SupportedEncryptionTypes inställt tillämpas den här inställningen och kan visa ett fel att ha konfigurerat en vanlig Kerberos-krypteringstyp som maskerats av det tidigare beteendet att automatiskt lägga till RC4 eller AES, vilket inte längre är beteendet efter installation av uppdateringar som släpptes den 8 november 2022 eller senare.
Mer information om hur du verifierar att du har en vanlig Kerberos-krypteringstyp finns i fråga Hur kan jag verifiera att alla mina enheter har en vanlig Kerberos-krypteringstyp?
Se föregående fråga om du vill ha mer information om varför dina enheter kanske inte har en vanlig Kerberos-krypteringstyp när du har installerat uppdateringar som släppts den 8 november 2022 eller senare.
Om du redan har installerat uppdateringar som släppts den 8 november 2022 eller senare kan du identifiera enheter som inte har en vanlig Kerberos-krypteringstyp genom att titta i händelseloggen för Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, som identifierar olika krypteringstyper mellan Kerberos-klienter och fjärrservrar eller -tjänster.
Installation av uppdateringar som släpptes 8 november 2022 eller senare på klienter eller rollservrar som inte är domänkontrollanter bör inte påverka Kerberos-autentiseringen i din miljö.
För att minimera det här kända problemet öppnar du kommandotolken som administratör och använder tillfälligt följande kommando för att ange registernyckeln KrbtgtFullPacSignature till 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Obs! När det här kända problemet har lösts bör du ställa in KrbtgtFullPacSignature på en högre inställning beroende på vilken miljö som tillåts. Vi rekommenderar att tvingande läge är aktiverat så snart miljön är klar.
Nästa stegVi arbetar med en lösning och kommer att tillhandahålla en uppdatering i en kommande version.
När du har installerat uppdateringar som släpptes den 8 november 2022 eller senare på domänkontrollanterna måste alla enheter ha stöd för AES-biljettsignering enligt kraven för säkerhetshärdning som krävs för CVE-2022-37967.
Nästa steg Om du redan kör den senaste programvaran och den inbyggda programvaran för dina icke-Windows-enheter och har kontrollerat att det finns en gemensam krypteringstyp mellan dina Windows-domänkontrollanter och dina enheter som inte är windows, måste du kontakta enhetstillverkaren (OEM) för att få hjälp eller ersätta enheterna med de enheter som är kompatibla.
VIKTIGT Vi rekommenderar inte att du använder någon lösning för att tillåta att icke-kompatibla enheter autentiseras, eftersom det kan göra din miljö sårbar.
Versioner av Windows som inte stöds omfattar Windows XP, Windows Server 2003, Windows Server 2008 SP2 och Windows Server 2008 R2 SP1 kan inte nås av uppdaterade Windows-enheter om du inte har en ESU-licens. Om du har en ESU-licens måste du installera uppdateringar som släppts den 8 november 2022 eller senare och kontrollera att konfigurationen har en gemensam krypteringstyp som är tillgänglig mellan alla enheter.
Nästa steg Installera uppdateringar om de är tillgängliga för din version av Windows och du har den tillämpliga ESU-licensen. Om uppdateringar inte är tillgängliga måste du uppgradera till en version av Windows som stöds eller flytta ett program eller en tjänst till en kompatibel enhet.
VIKTIGT Vi rekommenderar inte att du använder någon lösning för att tillåta att icke-kompatibla enheter autentiseras, eftersom det kan göra din miljö sårbar.
Det här kända problemet åtgärdades i uppdateringar som släpptes 17 november 2022 och 18 november 2022 för installation på alla domänkontrollanter i din miljö. Du behöver inte installera någon uppdatering eller göra några ändringar på andra servrar eller klientenheter i din miljö för att lösa problemet. Om du har använt någon lösning eller lösningar för det här problemet behövs de inte längre, och vi rekommenderar att du tar bort dem.
Om du vill hämta det fristående paketet för dessa inbyggda uppdateringar söker du efter KB-numret i Microsoft Update Catalog. Du kan manuellt importera dessa uppdateringar till Windows Server Update Services (WSUS) och Microsoft Endpoint Configuration Manager. Instruktioner för WSUS finns i WSUS och katalogwebbplatsen. Instruktioner för konfigurationsassistenten finns i Importera uppdateringar från Microsoft Update Catalog.
Obs! Följande uppdateringar är inte tillgängliga från Windows Update och installeras inte automatiskt.
Kumulativa uppdateringar:
Obs! Du behöver inte tillämpa någon tidigare uppdatering innan du installerar dessa kumulativa uppdateringar. Om du redan har installerat uppdateringar som släpptes 8 november 2022 behöver du inte avinstallera de berörda uppdateringarna innan du installerar senare uppdateringar, inklusive de uppdateringar som anges ovan.
Fristående Uppdateringar:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (utgiven 18 november 2022)
-
Windows Server 2008 SP2: KB5021657
Anmärkningar
-
Om du använder endast säkerhetsuppdateringar för dessa versioner av Windows Server behöver du bara installera de fristående uppdateringarna för november 2022. Endast säkerhetsuppdateringar är inte kumulativa och du måste också installera alla tidigare säkerhetsrelaterade uppdateringar för att vara helt uppdaterade. Månatliga samlade uppdateringar är kumulativa och innehåller säkerhets- och kvalitetsuppdateringar.
-
Om du använder månatliga samlade uppdateringar måste du installera både de fristående uppdateringarna som anges ovan för att lösa problemet och installera de månatliga samlade uppdateringarna som släpptes 8 november 2022 för att få kvalitetsuppdateringar för november 2022. Om du redan har installerat uppdateringar som släpptes 8 november 2022 behöver du inte avinstallera de berörda uppdateringarna innan du installerar senare uppdateringar, inklusive de uppdateringar som anges ovan.
Om du har verifierat konfigurationen av din miljö och fortfarande stöter på problem med en implementering som inte kommer från Microsoft av Kerberos, behöver du uppdateringar eller support från utvecklaren eller tillverkaren av appen eller enheten.
Det här kända problemet kan minimeras genom att göra något av följande:
-
Ange bitvis msds-SupportedEncryptionTypes eller ange det till det aktuella standardvärdet 0x27 om du vill behålla det aktuella värdet. Till exempel:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Ange msds-SupportEncryptionTypes till 0 så att domänkontrollanter kan använda standardvärdet för 0x27.
Nästa stegVi arbetar med en lösning och kommer att tillhandahålla en uppdatering i en kommande version.
Ordlista
AES (Advanced Encryption Standard) är ett blockkrypteringskrypteringsstandard (DES). AES kan användas för att skydda elektroniska data. AES-algoritmen kan användas för att kryptera (chiffrera) och dekryptera (dechiffrera) information. Kryptering konverterar data till en icke-begriplig form som kallas chiffertext; när du dekrypterar chiffertexten konverteras data tillbaka till dess ursprungliga form, så kallad oformaterad text. AES används i symmetrisk nyckelkryptografi, vilket innebär att samma nyckel används för krypterings- och dekrypteringsåtgärderna. Det är också ett block chiffer, vilket innebär att det fungerar på block med fast storlek av oformaterad text och chiffertext, och kräver att storleken på oformaterad text samt chiffertexten är en exakt multipel av denna blockstorlek. AES kallas även rijndael symmetrisk krypteringsalgoritm [FIPS197].
Kerberos är ett protokoll för datornätverksautentisering som fungerar baserat på "biljetter" för att noder som kommunicerar via ett nätverk ska kunna bevisa sin identitet för varandra på ett säkert sätt.
Kerberos-tjänsten som implementerar de tjänster för autentisering och biljettgivande som anges i Kerberos-protokollet. Tjänsten körs på datorer som valts av administratören för sfären eller domänen. den finns inte på alla datorer i nätverket. Den måste ha åtkomst till en kontodatabas för den sfär som den tjänar. KDC:er är integrerade i rollen domänkontrollant. Det är en nätverkstjänst som levererar biljetter till kunder för användning vid autentisera till tjänster.
RC4-HMAC (RC4) är en symmetrisk krypteringsalgoritm med variabel nyckellängd. Mer information finns i [SCHNEIER] avsnitt 17.1.
En relativt kortlivad symmetrisk nyckel (en kryptografisk nyckel som förhandlats fram av klienten och servern baserat på en delad hemlighet). Livslängden för sessionsnycklar begränsas av den session som den är associerad till. En sessionsnyckel måste vara tillräckligt stark för att klara kryptografi under sessionens livslängd.
En särskild typ av biljett som kan användas för att få andra biljetter. Biljettbeviljande biljett (TGT) erhålls efter den första autentiseringen i autentiseringstjänstens (AS) utbyte; därefter behöver inte användarna presentera sina autentiseringsuppgifter, men kan använda TGT för att få efterföljande biljetter.
