Sammanfattning
Windows-säkerhetsuppdateringarna som släpptes 9 april 2024 eller senare åtgärdar säkerhetsrisker med utökade privilegier med Kerberos PAC Validation Protocol. Privilege Attribute Certificate (PAC) är en förlängning av Kerberos servicebiljetter. Den innehåller information om den autentiserande användaren och deras behörigheter. Den här uppdateringen åtgärdar ett säkerhetsproblem där användaren av processen kan förfalska signaturen för att kringgå säkerhetskontroller av PAC-signaturverifiering som lagts till i KB5020805: Så här hanterar du Kerberos-protokolländringar relaterade till CVE-2022-37967.
Mer information om dessa sårbarheter finns i CVE-2024-26248 och CVE-2024-29056.
Vidta åtgärder
VIKTIGTSteg 1 för att installera uppdateringen som släpptes den 9 april 2024 eller senare åtgärdar INTE säkerhetsproblemen i CVE-2024-26248 och CVE-2024-29056 som standard. Om du vill minimera säkerhetsproblemen för alla enheter måste du gå till framtvingat läge (beskrivs i steg 3) när miljön har uppdaterats helt.
För att skydda din miljö och förhindra avbrott rekommenderar vi följande steg:
-
UPPDATERING: Windows domänkontrollanter och Windows-klienter måste uppdateras med en Windows-säkerhetsuppdatering som släpptes 9 april 2024 eller senare.
-
ÖVERVAKA: Granskningshändelser visas i kompatibilitetsläge för att identifiera enheter som inte uppdateras.
-
AKTIVERA: När tvingande läge har aktiverats fullt ut i miljön kommer de sårbarheter som beskrivs i CVE-2024-26248 och CVE-2024-29056 att minimeras.
Bakgrund
När en Windows-arbetsstation utför PAC-validering på ett inkommande Kerberos-autentiseringsflöde, utförs en ny begäran (inloggning med nätverksbiljett) för att validera serviceärenden. Begäran vidarebefordras först till en domänkontrollant (DC) av Workstations-domänen via Netlogon.
Om tjänstkontot och datorkontot tillhör olika domäner överförs begäran via Netlogon tills den når tjänstdomänen. annars utför domänkontrollanten i domänen för datorkonton verifieringen. DC anropar sedan Key Distribution Center (KDC) för att validera PAC-signaturerna för serviceärenden och skickar användar- och enhetsinformation tillbaka till arbetsstationen.
Om begäran och svaret vidarebefordras över ett förtroende (i de fall där tjänstkontot och arbetsstationskontot tillhör olika domäner), gäller varje domänkontrollant i förtroendefiltren auktoriseringsdata som gäller för den.
Tidslinje över ändringar
Uppdateringar släpps på följande sätt. Observera att det här utgivningsschemat kan komma att ändras efter behov.
Den första distributionsfasen börjar med uppdateringarna som släpptes 9 april 2024. Den här uppdateringen lägger till nytt beteende som förhindrar säkerhetsriskerna för utökade privilegier som beskrivs i CVE-2024-26248 och CVE-2024-29056 , men som inte tillämpar den om inte både Windows-domänkontrollanter och Windows-klienter i miljön uppdateras.
Om du vill aktivera det nya beteendet och minska säkerhetsproblemen måste du se till att hela Windows-miljön (inklusive både domänkontrollanter och klienter) uppdateras. Granskningshändelser loggas för att identifiera enheter som inte uppdateras.
Uppdateringar som släpptes den 15 oktober 2024 eller senare flyttar alla Windows-domänkontrollanter och -klienter i miljön till framtvingat läge genom att ändra registerundernyckelinställningarna till PacSignatureValidationLevel=3 och CrossDomainFilteringLevel=4, vilket framtvingar det säkra beteendet som standard.
Inställningarna Tillämpad som standard kan åsidosättas av en administratör för att återgå till kompatibilitetsläget .
Windows-säkerhetsuppdateringarna som släpptes 8 april 2025 eller senare tar bort stöd för registerundernycklarna PacSignatureValidationLevel och CrossDomainFilteringLevel och tillämpar det nya säkra beteendet. Det finns inget stöd för kompatibilitetsläget när du har installerat den här uppdateringen.
Möjliga problem och lösningar
Det finns potentiella problem som kan uppstå, till exempel PAC-validering och filtreringsfel mellan skogar. Säkerhetsuppdateringen den 9 april 2024 innehåller reservlogik och registerinställningar för att minimera dessa problem
Registerinställningar
Den här säkerhetsuppdateringen erbjuds för Windows-enheter (inklusive domänkontrollanter). Följande registernycklar som styr beteendet behöver bara distribueras till Kerberos-servern som accepterar inkommande Kerberos-autentisering och pac-verifiering.
|
Registerundernyckel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Värde |
PacSignatureValidationLevel |
|
|
Datatyp |
REG_DWORD |
|
|
Data |
2 |
Standard (Kompatibilitet med oskickad miljö) |
|
3 |
Genomdriva |
|
|
Omstart Krävs? |
Nej |
|
|
Registerundernyckel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Värde |
CrossDomainFilteringLevel |
|
|
Datatyp |
REG_DWORD |
|
|
Data |
2 |
Standard (Kompatibilitet med oskickad miljö) |
|
4 |
Genomdriva |
|
|
Omstart Krävs? |
Nej |
|
Den här registernyckeln kan distribueras till både Windows-servrar som accepterar inkommande Kerberos-autentisering, liksom till alla Windows-domänkontrollanter som validerar det nya flödet för inloggning av nätverksbegäran längs vägen.
|
Registerundernyckel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Värde |
AuditKerberosTicketLogonEvents |
|
|
Datatyp |
REG_DWORD |
|
|
Data |
1 |
Standard – logga kritiska händelser |
|
2 |
Logga alla Netlogon-händelser |
|
|
0 |
Logga inte Netlogon-händelser |
|
|
Omstart Krävs? |
Nej |
|
Händelseloggar
Följande Kerberos-granskningshändelser genereras på Kerberos-servern som accepterar inkommande Kerberos-autentisering. Den här Kerberos-servern kommer att utföra PAC-validering, som använder det nya inloggningsflödet för nätverksbiljett.
|
Händelselogg |
System |
|
Händelsetyp |
Informativt |
|
Händelsekälla |
Security-Kerberos |
|
Händelse-ID |
21 |
|
Händelsetext |
Under Kerberos Network Ticket Logon> serviceärendet för Konto <-konto från Domain <Domain> följande åtgärder utföras av DC <Domain Controller>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2262558. |
Händelsen visas när en domänkontrollant vidtog en icke-dödlig åtgärd under ett inloggningsflöde för nätverksbiljett. Från och med nu loggas följande åtgärder:
-
Användar-SID filtrerades.
-
Enhets-SID filtrerades.
-
Sammansatt identitet har tagits bort på grund av sidfiltrering som inte tillåter enhetens identitet.
-
Sammansatt identitet har tagits bort på grund av sidfiltrering som inte tillåter enhetens domännamn.
|
Händelselogg |
System |
|
Händelsetyp |
Fel |
|
Händelsekälla |
Security-Kerberos |
|
Händelse-ID |
22 |
|
Händelsetext |
Under Kerberos Network Ticket Logon nekades serviceärendet för Konto <-konto> från Domain <Domain> av DC <DC> på grund av orsakerna nedan. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2262558. |
Händelsen visas när en domänkontrollant nekar begäran om inloggning av nätverksbiljett av de skäl som visas i händelsen.
|
Händelselogg |
System |
|
Händelsetyp |
Varning eller fel |
|
Händelsekälla |
Security-Kerberos |
|
Händelse-ID |
23 |
|
Händelsetext |
Under Kerberos network ticket-inloggning kunde serviceärendet för konto <account_name> från domän <domain_name> inte vidarebefordras till en domänkontrollant för att underhålla begäran. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Händelsen visas som en varning om PacSignatureValidationLevel AND CrossDomainFilteringLevel inte är inställt på Framtvinga eller striktare. När den loggas som en varning indikerar händelsen att inloggningsflöden för nätverksbiljett kontaktade en domänkontrollant eller motsvarande enhet som inte förstod den nya mekanismen. Autentiseringen tilläts att falla tillbaka till tidigare beteende.
-
Den här händelsen visas som ett fel om PacSignatureValidationLevel OR CrossDomainFilteringLevel är inställt på Framtvinga eller striktare. Händelsen som "fel" anger att inloggningsflödet för nätverksbegäran kontaktade en domänkontrollant eller motsvarande enhet som inte förstod den nya mekanismen. Autentiseringen nekades och kunde inte återställas till tidigare beteende.
|
Händelselogg |
System |
|
Händelsetyp |
Fel |
|
Händelsekälla |
Netlogon |
|
Händelse-ID |
5842 |
|
Händelsetext |
Netlogon-tjänsten stötte på ett oväntat fel vid bearbetning av en Kerberos-begäran om inloggning av nätverksbiljett. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2261497. Serviceärendekonto: <-konto> Service Ticket Domain: <Domain> Workstation Name: <Machine Name> Status: <felkod> |
Den här händelsen genereras när Netlogon påträffade ett oväntat fel under en inloggningsbegäran för nätverksbiljett. Händelsen loggas när AuditKerberosTicketLogonEvents är inställd på (1) eller senare.
|
Händelselogg |
System |
|
Händelsetyp |
Varning |
|
Händelsekälla |
Netlogon |
|
Händelse-ID |
5843 |
|
Händelsetext |
Netlogon-tjänsten kunde inte vidarebefordra en Kerberos Network Ticket Logon-begäran till domänkontrollanten <DC->. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2261497. Serviceärendekonto: <-konto> Service Ticket Domain: <Domain> Workstation Name: <Machine Name> |
Händelsen genereras när Netlogon inte kunde slutföra inloggningen för nätverksbegäran eftersom en domänkontrollant inte förstod ändringarna. På grund av begränsningar i Netlogon-protokollet kan Netlogon-klienten inte avgöra om domänkontrollanten som Netlogon-klienten pratar med direkt är den som inte förstår ändringarna, eller om det är en domänkontrollant längs vidarebefordrankedjan som inte förstår ändringarna.
-
Om domänen serviceärende är densamma som datorkontots domän är det troligt att domänkontrollanten i händelseloggen inte förstår inloggningsflödet för nätverksbiljett.
-
Om domänen för serviceärende skiljer sig från datorkontots domän förstod inte inloggningsflödet för nätverksbiljettinloggning från datorkontots domän till tjänstkontots domän.
Den här händelsen är inaktiverad som standard. Microsoft rekommenderar att användarna först uppdaterar hela sin flotta innan de aktiverar händelsen.
Händelsen loggas när AuditKerberosTicketLogonEvents är inställd på (2).
Vanliga frågor och svar
En domänkontrollant som inte uppdateras känner inte igen den nya strukturen för begäran. Detta gör att säkerhetskontrollen misslyckas. I kompatibilitetsläge används den gamla strukturen för begäran. Det här scenariot är fortfarande sårbart för CVE-2024-26248 och CVE-2024-29056.
Ja. Det beror på att det nya flödet för inloggning av nätverksbegäran kan behöva dirigeras mellan domäner för att nå domänen för tjänstkontot.
PAC-validering kan hoppas över under vissa omständigheter, inklusive, men inte begränsat till, följande scenarier:
-
Om tjänsten har TCB-behörighet. I allmänhet har tjänster som körs inom ramen för SYSTEM-kontot (till exempel SMB-filresurser eller LDAP-servrar) den här behörigheten.
-
Om tjänsten körs från Schemaläggaren.
Annars utförs PAC-validering på alla inkommande Kerberos-autentiseringsflöden.
De här cv:erna omfattar en lokal rättighetsökning där ett skadligt eller komprometterat tjänstkonto som körs på Windows Workstation försöker höja deras behörighet för att få lokala administrationsrättigheter. Det innebär att endast Windows Workstation som accepterar inkommande Kerberos-autentisering påverkas.
