ข้ามไปที่เนื้อหาหลัก
การสนับสนุน
ลงชื่อเข้าใช้
ลงชื่อเข้าใช้ด้วย Microsoft
ลงชื่อเข้าใช้หรือสร้างบัญชี
สวัสดี
เลือกบัญชีอื่น
คุณมีหลายบัญชี
เลือกบัญชีที่คุณต้องการลงชื่อเข้าใช้

สรุป

การอัปเดตวันที่ 11 มกราคม 2022 Windowsและการอัปเดตที่ใหม่กว่าWindowsเพิ่มการป้องกันCVE-2022-21913

หลังจากที่คุณติดตั้งการอัปเดต Windows วันที่ 11 มกราคม 2022 หรือ Windows ที่ใหม่กว่า การเข้ารหัสลับ Advanced Encryption Standard (AES) จะถูกตั้งค่าเป็นวิธีการเข้ารหัสลับที่ต้องการบนไคลเอ็นต์ Windows เมื่อคุณใช้โพรโทคอล Local Security Authority (Domain Policy) (MS-LSAD) ดั้งเดิมเพื่อดําเนินการรหัสผ่านวัตถุโดเมนที่เชื่อถือได้ที่ถูกส่งผ่านเครือข่าย ซึ่งเป็นจริงเฉพาะเมื่อเซิร์ฟเวอร์สนับสนุนการเข้ารหัสลับ AES เท่านั้น ถ้าเซิร์ฟเวอร์ไม่สนับสนุนการเข้ารหัสลับ AES ระบบจะอนุญาตใช้การเข้ารหัสลับ RC4แบบดั้งเดิม

การเปลี่ยนแปลงในCVE-2022-21913เป็นเฉพาะโพรโทคอล MS-LSAD ซึ่งไม่ขึ้นกับโพรโทคอลอื่นๆ MS-LSAD ใช้บล็อกข้อความเซิร์ฟเวอร์ (SMB) ผ่านการเรียกกระบวนการระยะไกล
(RPC) และไปป์ที่มีชื่อ แม้ว่า SMB จะสนับสนุนการเข้ารหัสลับด้วย แต่จะไม่เปิดใช้งานตามค่าเริ่มต้น ตามค่าเริ่มต้น การเปลี่ยนแปลงในCVE-2022-21913จะเปิดใช้งานและมอบความปลอดภัยเพิ่มเติมที่ชั้น LSAD ไม่มีการเปลี่ยนแปลงการกําหนดค่าเพิ่มเติมนอกจากการติดตั้งการป้องกันของCVE-2022-21913ที่รวมอยู่ในการอัปเดต Windows ของวันที่ 11 มกราคม 2022 และ Windows ที่ใหม่กว่าใน Windows เวอร์ชันที่สนับสนุนทั้งหมด เวอร์ชันที่ไม่ได้รับการสนับสนุนของ Windowsควรถูกยกเลิกหรืออัปเกรดเป็นเวอร์ชันที่สนับสนุน 

หมายเหตุ CVE-2022-21913ปรับเปลี่ยนเฉพาะวิธีที่รหัสผ่านที่เชื่อถือได้ถูกเข้ารหัสลับระหว่างการถ่ายโอนเมื่อคุณใช้ API เฉพาะของโพรโทคอล MS-LSAD และโดยเฉพาะอย่าปรับเปลี่ยนวิธีที่จัดเก็บรหัสผ่านเมื่อหยุด For more information about how passwords are encrypted at rest in Active Directory and locally in the SAM Database (registry), see Passwords technical overview

ข้อมูลเพิ่มเติม

การเปลี่ยนแปลงที่เปลี่ยนแปลงในวันที่ 11 มกราคม 2022 การอัปเดต 

  • รูปแบบวัตถุนโยบาย

    การอัปเดตจะปรับเปลี่ยนรูปแบบวัตถุนโยบายของโพรโทคอลด้วยการเพิ่มเมธอด Open Policy ใหม่ที่เปิดใช้งานไคลเอ็นต์และเซิร์ฟเวอร์เพื่อแชร์ข้อมูลเกี่ยวกับการสนับสนุน AES

    วิธีการแบบเก่าที่ใช้ RC4

    วิธีใหม่โดยใช้ AES

    LpoliopenPolicy2 (Opnum 44)

    LpoliopenPolicy3 (Opnum 130)

    ดูที่ [MS-LSAD]: เหตุการณ์การประมวลผลข้อความและกฎการจัดลดับ

  • รูปแบบวัตถุโดเมนที่เชื่อถือได้

    การอัปเดตจะปรับเปลี่ยน วัตถุโดเมนที่เชื่อถือได้ สร้างรูปแบบของโพรโทคอล โดยการเพิ่มวิธีใหม่เพื่อสร้างความเชื่อถือที่จะใช้ AES เพื่อเข้ารหัสลับข้อมูลการรับรองความถูกต้อง

    API LsaCreateTrustedDomainEx จะชอบวิธีการใหม่ถ้าไคลเอ็นต์และเซิร์ฟเวอร์ได้รับการอัปเดตและย้อนกลับไปยังวิธีเก่านอกเหนือจากนี้

    วิธีการแบบเก่าที่ใช้ RC4

    วิธีใหม่โดยใช้ AES

    LøCreateTrustedDomainEx2 (Opnum 59)

    LøCreateTrustedDomainEx3 (Opnum 129) 

    การอัปเดตจะปรับเปลี่ยนรูปแบบของชุดวัตถุโดเมนที่เชื่อถือได้ของโพรโทคอลด้วยการเพิ่มคลาสข้อมูลที่เชื่อถือได้ใหม่สองคลาสลงในเมธอด L sslSetInformationTrustedDomain (Opnum 27), LomaSetTrustedDomainInfoByName (Opnum 49) คุณสามารถตั้งค่าข้อมูลวัตถุโดเมนที่เชื่อถือได้ดังนี้  

    วิธีการแบบเก่าที่ใช้ RC4

    วิธีใหม่โดยใช้ AES

    LomaSetInformationTrustedDomain (Opnum 27) พร้อมด้วย TrustedDomainAuthInformationInternal หรือ TrustedDomainFullInformationInternal (เก็บรหัสผ่านความเชื่อถือที่เข้ารหัสลับที่ใช้ RC4)

    LomaSetInformationTrustedDomain (Opnum 27) พร้อมด้วย TrustedDomainAuthInformationInternalAes หรือ TrustedDomainFullInformationAes (เก็บรหัสผ่านที่เชื่อถือได้ที่เข้ารหัสลับที่ใช้ AES)

    LøSetTrustedDomainInfoByName (Opnum 49) พร้อมด้วย TrustedDomainAuthInformationInternal หรือ TrustedDomainFullInformationInternal (เก็บรหัสผ่านความเชื่อถือที่เข้ารหัสลับที่ใช้ RC4 และแอตทริบิวต์อื่นๆ ทั้งหมด)

    LomaSetTrustedDomainInfoByName (Opnum 49) พร้อมด้วย TrustedDomainAuthInformationInternalAes หรือ TrustedDomainFullInformationInternalAes (เก็บรหัสผ่านความน่าเชื่อถือที่เข้ารหัสลับที่ใช้ AES และแอตทริบิวต์อื่นๆ ทั้งหมด)

ลักษณะการการเกิดขึ้นของรูปแบบใหม่

โดยทั่วไปแล้ว วิธี L rpcOpenPolicy2 ที่มีอยู่จะใช้เพื่อเปิดจุดจับบริบทไปยังเซิร์ฟเวอร์ RPC นี่คือฟังก์ชันแรกที่ต้องเรียกว่า ให้ ติดต่อฐานข้อมูลโพรโทคอลระยะไกล (นโยบายโดเมน) ผู้ให้บริการออกความปลอดภัยท้องถิ่น หลังจากที่คุณติดตั้งการอัปเดตเหล่านี้ แล้ว วิธีการ LpoliOpenPolicy2 จะถูก supersed โดยวิธี LpoliOpenPolicy3 ใหม่ 

ไคลเอ็นต์ที่อัปเดตที่เรียกใช้ API LsaOpenPolicy จะเรียกใช้วิธีการ LlsaOpenPolicy3 ก่อน ถ้าเซิร์ฟเวอร์ไม่ได้รับการอัปเดตและไม่ได้ใช้วิธี LpolipenPolicy3 ไคลเอ็นต์จะกลับไปยังวิธี Lpolicy2 Lpolicy2 และใช้วิธีการก่อนหน้านี้ที่ใช้การเข้ารหัสลับ RC4 

เซิร์ฟเวอร์ที่อัปเดตจะส่งกลับบิตใหม่ในการตอบสนองวิธีการของ LpoliopenPolicy3 ตามที่LSAPR_REVISION_INFO_V1 For more information, see the "AES Cipher usage" and "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" sections in MS-LSAD.

ถ้าเซิร์ฟเวอร์สนับสนุน AES ไคลเอ็นต์จะใช้วิธีการใหม่และคลาสข้อมูลใหม่ในการดําเนินการ "สร้าง" และ "set" ของโดเมนที่เชื่อถือได้ในภายหลัง ถ้าเซิร์ฟเวอร์ไม่ส่งกลับค่าสถานะนี้ หรือถ้าไคลเอ็นต์ไม่ได้รับการอัปเดต ไคลเอ็นต์จะกลับไปใช้วิธีก่อนหน้าที่ใช้การเข้ารหัสลับ RC4 

การบันทึกเหตุการณ์

การอัปเดตวันที่ 11 มกราคม 2022 จะเพิ่มเหตุการณ์ใหม่ลงในบันทึกเหตุการณ์ความปลอดภัยเพื่อช่วยระบุอุปกรณ์ที่ไม่ได้รับการอัปเดต และเพื่อช่วยปรับปรุงความปลอดภัย 

ค่า

ความหมาย

แหล่งเหตุการณ์

Microsoft-Windows-Security 

ID เหตุการณ์

6425

ระดับ 

ข้อมูล

ข้อความเหตุการณ์

ไคลเอ็นต์เครือข่ายใช้วิธีการ RPC แบบดั้งเดิมเพื่อปรับเปลี่ยนข้อมูลการรับรองความถูกต้องบนวัตถุโดเมนที่เชื่อถือได้ ข้อมูลการรับรองความถูกต้องได้รับการเข้ารหัสลับด้วยอัลกอริทึมการเข้ารหัสลับแบบดั้งเดิม พิจารณาอัปเกรดระบบปฏิบัติการไคลเอ็นต์หรือแอปพลิเคชันเพื่อใช้วิธีนี้เวอร์ชันล่าสุดและปลอดภัยยิ่งขึ้น 

โดเมนที่เชื่อถือได้: 

  • ชื่อโดเมน:
    ID โดเมน:

ปรับเปลี่ยนโดย: 

  • รหัสความปลอดภัย:
    ชื่อบัญชี:
    โดเมนบัญชี:
    ID การเข้าสู่ระบบ:

ที่อยู่เครือข่ายไคลเอ็นต์:
ชื่อวิธีการ RPC: 

ดูข้อมูลเพิ่มเติมที่https://go.microsoft.com/fwlink/?linkid=2161080

ถามที่ถามบ่อย (FAQ) 

Q1: สถานการณ์ใดที่ทริกเกอร์การดาวน์เกรดจาก AES เป็น RC4 

A1: การดาวน์เกรดจะเกิดขึ้นถ้าเซิร์ฟเวอร์หรือไคลเอ็นต์ไม่สนับสนุน AES    

Q2: ฉันจะรู้ได้อย่างไรว่าการเข้ารหัสลับ RC4 หรือการเข้ารหัสลับ AES ถูกตรวจสอบ 

A2: เซิร์ฟเวอร์ที่อัปเดตจะบันทึกเหตุการณ์ 6425 เมื่อใช้วิธีดั้งเดิมที่ใช้ RC4  

Q3: ฉันต้องการการเข้ารหัสลับ AES บนเซิร์ฟเวอร์ และจะบังคับใช้การอัปเดตโดยWindowsทางโปรแกรมโดยใช้ AES หรือไม่ 

A3: ในขณะนี้ยังไม่มีโหมดการบังคับใช้ที่พร้อมใช้งาน อย่างไรก็ตาม อาจมีการเปลี่ยนแปลงในอนาคตแม้ว่าจะไม่มีการจัดตารางการเปลี่ยนแปลงดังกล่าว 

Q4: ไคลเอ็นต์ของบริษัทอื่นสนับสนุนการป้องกัน CVE-2022-21913 หรือไม่ เพื่อเจรจา AES เมื่อเซิร์ฟเวอร์สนับสนุน ฉันควรติดต่อฝ่ายสนับสนุนของ Microsoft หรือทีมสนับสนุนของบริษัทอื่นเพื่อตอบคําถามนี้   

A4: ถ้าอุปกรณ์หรือแอปพลิเคชันของบริษัทอื่นไม่ได้ใช้โพรโทคอล MS-LSAD นี่จะไม่สําคัญ ผู้จัดซื้อของบริษัทอื่นที่ปรับใช้โพรโทคอล MS-LSAD อาจเลือกที่จะปรับใช้โพรโทคอลนี้ For more information, contact the third-party vendor.  

Q5: ต้องมีการเปลี่ยนแปลงการกําหนดค่าเพิ่มเติมหรือไม่  

A5: ไม่จําเป็นต้องเปลี่ยนแปลงการกําหนดค่าเพิ่มเติม  

Q6: โพรโทคอลนี้ใช้อะไร   

A6: โพรโทคอล MS-LSAD ถูกใช้โดยคอมโพเนนต์ Windows หลายคอมโพเนนต์ รวมถึง Active Directory และเครื่องมือต่างๆ เช่น คอนโซล Active Directory Domains และ Trusts แอปพลิเคชันอาจใช้โพรโทคอลนี้ผ่านทาง API ไลบรารี advapi32 เช่นLsaOpenPolicyหรือLsaCreateTrustedDomainEx

เอกสารที่เกี่ยวข้อง

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders

ข้อมูลนี้เป็นประโยชน์หรือไม่

คุณพึงพอใจกับคุณภาพภาษาเพียงใด
สิ่งที่ส่งผลต่อประสบการณ์ใช้งานของคุณ
เมื่อกดส่ง คำติชมของคุณจะถูกใช้เพื่อปรับปรุงผลิตภัณฑ์และบริการของ Microsoft ผู้ดูแลระบบ IT ของคุณจะสามารถรวบรวมข้อมูลนี้ได้ นโยบายความเป็นส่วนตัว

ขอบคุณสำหรับคำติชมของคุณ!

×