Not
- Güncellenmiş
- 10 Nisan 2023: "CVE-2022-37967'yi ele almak için güncelleştirmelerin zamanlaması" bölümündeki "Üçüncü dağıtım aşaması" 11 Nisan 2023'den 13 Haziran 2023'e güncellendi.
Bu makalede
- Özet
- CVE-2022-37967'yi ele almak için güncelleştirmelerin zamanlaması
- Dağıtım yönergeleri
- Kayıt Defteri Anahtarı ayarları
- CVE-2022-37967 ile ilgili Windows olayları
- Kerberos protokolünü uygulayan üçüncü taraf cihazlar
- Sözlük
Özet
8 Kasım 2022 Windows güncelleştirmeleri, Ayrıcalık Öznitelik Sertifikası (PAC) imzalarıyla güvenlik atlama ve ayrıcalık yükseltme güvenlik açıklarını ele alır. Bu güvenlik güncelleştirmesi, bir saldırganın PAC imzalarını dijital olarak değiştirerek ayrıcalıklarını yükselttiği Kerberos güvenlik açıklarına yöneliktir.
Ortamınızın güvenliğini sağlamaya yardımcı olmak için bu Windows güncelleştirmesini Windows etki alanı denetleyicileri de dahil olmak üzere tüm cihazlara yükleyin. Güncelleştirmeyi Zorunlu moda geçirmeden önce, etki alanınızdaki tüm etki alanı denetleyicilerinin güncelleştirilmesi gerekir.
Bu güvenlik açığı hakkında daha fazla bilgi edinmek için bk. CVE-2022-37967.
Harekete Geçin
Ortamınızı korumaya ve kesintileri önlemeye yardımcı olmak için aşağıdaki adımları uygulamanızı öneririz:
- Windows etki alanı denetleyicilerinizi 8 Kasım 2022 tarihinde veya sonrasında yayınlanan bir Windows güncelleştirmesiyle GÜNCELLEŞTIRİN.
- Kayıt Defteri Anahtarı ayarı bölümünü kullanarak Windows etki alanı denetleyicilerinizi Denetim moduna TAŞIYIN.
- Ortamınızın güvenliğini sağlamak için Denetim modu sırasında dosyalanan olayları İZLEYİN.
- ETKINLEŞTIRME Ortamınızda CVE-2022-37967 sorununu gidermek için zorlama modu.
Notlar 8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmelerin yüklenmesinin 1. adımı, varsayılan olarak Windows cihazları için CVE-2022-37967'deki güvenlik sorunlarını çözmez. Güvenlik sorununu tüm cihazlar için tam olarak azaltmak üzere mümkün olan en kısa sürede tüm Windows etki alanı denetleyicilerinde Denetim moduna (Adım 2'de açıklanmıştır) ve ardından Zorunlu moda (Adım 4'te açıklanmıştır) geçmeniz gerekir.
Önemli Temmuz 2023'ten itibaren Zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilecek ve uyumlu olmayan cihazlardan gelen savunmasız bağlantıları engelleyecektir. Bu zaman geldiğinde güncelleştirmeyi devre dışı bırakamazsınız, ancak Denetim modu ayarına geri dönebilirsiniz. Denetim modu, Kerberos güvenlik açığını gidermek için güncelleştirmelerin zamanlaması CVE-2022-37967 bölümünde belirtildiği gibi Ekim 2023'te kaldırılacaktır.
CVE-2022-37967'yi ele almak için güncelleştirmelerin zamanlaması
Güncelleştirmeler, 8 Kasım 2022 tarihinde veya sonrasında yayımlanan güncelleştirmeler için ilk aşama ve 13 Haziran 2023 tarihinde veya sonrasında yayımlanan güncelleştirmeler için Yürürlük aşaması olmak üzere aşamalı olarak yayımlanacaktır.
8 Kasım 2022 - İlk dağıtım aşaması
İlk dağıtım aşaması 8 Kasım 2022'de yayınlanan güncelleştirmelerle başlar ve daha sonraki Windows güncelleştirmeleriyle Zorlama aşamasına kadar devam eder. Bu güncelleştirme, Kerberos PAC arabelleğine imzalar ekler ancak kimlik doğrulama sırasında imzaları denetlemez. Bu nedenle, güvenli mod varsayılan olarak devre dışı bırakılır.
Bu güncelleştirme:
- Kerberos PAC arabelleğine PAC imzaları ekler.
- Kerberos protokolündeki güvenlik atlama güvenlik açığını gidermek için önlemler ekler.
13 Aralık 2022 - İkinci dağıtım aşaması
İkinci dağıtım aşaması 13 Aralık 2022'de yayınlanan güncelleştirmelerle başlar. Bu ve sonraki güncelleştirmeler, Windows etki alanı denetleyicilerini Denetim moduna taşıyarak Windows cihazlarını denetlemek için Kerberos protokolünde değişiklikler yapar.
Bu güncelleştirmeyle, tüm cihazlar varsayılan olarak Denetim modunda olacaktır:
- İmza eksik veya geçersizse, kimlik doğrulamasına izin verilir. Ayrıca, bir denetim günlüğü oluşturulur.
- İmza yoksa, bir olay oluşturun ve kimlik doğrulamasına izin verin .
- İmza varsa, doğrulayın. İmza yanlışsa, bir olay oluşturun ve kimlik doğrulamasına izin verin .
13 Haziran 2023 - Üçüncü dağıtım aşaması
13 Haziran 2023 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri şunları yapacaktır:
- KrbtgtFullPacSignature alt anahtarını 0 değerine ayarlayarak PAC imza eklemeyi devre dışı bırakma özelliğini kaldırın.
11 Temmuz 2023 - İlk Yaptırım aşaması
11 Temmuz 2023 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri aşağıdakileri yapacaktır:
- KrbtgtFullPacSignature alt anahtarı için 1 değerini ayarlama özelliğini kaldırır.
- Güncelleştirmeyi Zorlama moduna (Varsayılan) taşır (KrbtgtFullPacSignature = 3); bu mod açık bir Denetim ayarıyla bir Yönetici tarafından geçersiz kılınabilir.
10 Ekim 2023 - Tam Uygulama aşaması
10 Ekim 2023 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri aşağıdakileri yapacaktır:
- KrbtgtFullPacSignature kayıt defteri alt anahtarı desteğini kaldırır.
- Denetim modu desteğini kaldırır.
- Yeni PAC imzaları olmayan tüm hizmet biletlerinin kimlik doğrulaması reddedilir.
Dağıtım yönergeleri
8 Kasım 2022 tarihli Windows güncelleştirmelerini veya sonraki Windows güncelleştirmelerini dağıtmak için şu adımları izleyin:
- Windows etki alanı denetleyicilerinizi 8 Kasım 2022 tarihinde veya sonrasında yayımlanan bir güncelleştirmeyle GÜNCELLEŞTIRİN.
- Kayıt Defteri Anahtarı ayarı bölümünü kullanarak etki alanı denetleyicilerinizi Denetim moduna TAŞIYIN.
- Ortamınızın güvenliğini sağlamaya yardımcı olmak için Denetim modu sırasında dosyalanan olayları İZLEYİN.
- ETKINLEŞTIRME Ortamınızda CVE-2022-37967 sorununu gidermek için zorlama modu.
1. ADIM: GÜNCELLEŞTIRME
8 Kasım 2022 veya sonraki güncelleştirmeleri tüm geçerli Windows etki alanı denetleyicilerine (DC'ler) dağıtın. Güncelleştirme dağıtıldıktan sonra, güncelleştirilen Windows etki alanı denetleyicilerinin imzaları Kerberos PAC Arabelleği'ne eklenir ve varsayılan olarak güvenli olmaz (PAC imzası doğrulanmaz).
- Güncelleştirme sırasında, tüm Windows etki alanı denetleyicileri güncelleştirilene kadar KrbtgtFullPacSignature kayıt defteri değerini varsayılan durumda tuttuğunuzdan emin olun.
2. ADIM: TAŞIMA
Windows etki alanı denetleyicileri güncelleştirildikten sonra, KrbtgtFullPacSignature değerini 2 olarak değiştirerek Denetim moduna geçin.
3. ADIM: BULMA/İZLEME
PAC imzaları eksik olan veya Denetim modu sırasında tetiklenen Olay Günlükleri aracılığıyla doğrulanamayan PAC İmzaları olan alanları belirleyin.
- Zorlama moduna geçmeden önce etki alanı işlev düzeyinin en az 2008 veya üzeri bir değere ayarlandığından emin olun. 2003 etki alanı işlev düzeyindeki etki alanlarıyla Zorlama moduna geçmek kimlik doğrulama hatalarına neden olabilir.
- Denetim etkinlikleri, etki alanınız tamamen güncelleştirilmediyse veya etki alanınızda daha önce düzenlenmiş bekleyen hizmet biletleri varsa görüntülenir.
- Eksik PAC imzalarını veya varolan PAC imzalarının doğrulama hatalarını gösteren ek olay günlükleri dosyalamaya devam edin.
- Etki alanının tamamı güncelleştirildikten ve bekleyen tüm biletlerin süresi dolduktan sonra, denetim olayları artık görünmemelidir. Ardından, hatasız bir şekilde Zorlama moduna geçebilmeniz gerekir.
4. ADIM: ETKINLEŞTIRIN
Ortamınızda CVE-2022-37967'yi ele almak için Zorlama modunu etkinleştirin.
- Tüm denetim olayları çözüldükten ve artık görünmediğinde, Kayıt Defteri Anahtarı ayarları bölümünde açıklandığı gibi KrbtgtFullPacSignature kayıt defteri değerini güncelleştirerek etki alanlarınızı Zorlama moduna taşıyın.
- Hizmet biletinde geçersiz PAC imzası varsa veya PAC imzaları eksikse, doğrulama başarısız olur ve bir hata olayı günlüğe kaydedilir.
Kayıt Defteri Anahtarı ayarları
Kerberos protokolü
8 Kasım 2022 veya sonrasındaki Windows güncelleştirmelerini yükledikten sonra, Kerberos protokolü için aşağıdaki kayıt defteri anahtarı kullanılabilir:
KrbtgtFullPacSignature
Bu kayıt defteri anahtarı, Kerberos değişikliklerinin dağıtımında geçit oluşturmak için kullanılır. Bu kayıt defteri anahtarı geçicidir ve tam Yürürlük tarihi olan 10 Ekim 2023'ten sonra artık okunmayacaktır.
Kayıt defteri anahtarı HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc Değer KrbtgtFullPacSignature Veri türü REG_DWORD Veri 0 – Devre dışı
1 – Yeni imzalar eklenir, ancak doğrulanmaz. (Varsayılan ayar)
2 - Denetim modu. Yeni imzalar eklenir ve varsa doğrulanır. İmza eksik veya geçersizse, kimlik doğrulamasına izin verilir ve denetim günlükleri oluşturulur.
3 - Zorlama modu. Yeni imzalar eklenir ve varsa doğrulanır. İmza eksik veya geçersizse, kimlik doğrulaması reddedilir ve denetim günlükleri oluşturulur.Yeniden başlatma gerekli mi? Hayır NotlarKrbtgtFullPacSignature kayıt defteri değerini değiştirmeniz gerekirse, kayıt defteri anahtarını el ile ekleyin ve ardından varsayılan değeri geçersiz kılacak şekilde yapılandırın.
CVE-2022-37967 ile ilgili Windows olayları
Denetim modunda, PAC imzaları eksik veya geçersizse aşağıdaki hatalardan birini bulabilirsiniz. Zorlama modu sırasında bu sorun devam ederse bu olaylar hata olarak kaydedilir.
Cihazınızda herhangi bir hatayı bulursanız, etki alanınızdaki tüm Windows etki alanı denetleyicilerinin 8 Kasım 2022 veya sonraki bir Windows güncelleştirmesiyle güncel olmaması muhtemeldir. Sorunları azaltmak için etki alanınızı daha fazla araştırıp güncel olmayan Windows etki alanı denetleyicilerini bulmanız gerekir.
Notlar Olay Kimliği 42 ile ilgili bir hata bulursanız lütfen KB5021131 bölümüne bakın : CVE-2022-37966 ile ilgili Kerberos protokol değişikliklerini yönetme.
Tam PAC imzası başarısız oldu
| Olay Günlüğü | Sistem |
|---|---|
| Olay Türü | Uyarı |
| Olay Kaynağı | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Olay Kimliği | 43 |
| Olay Metni | Anahtar Dağıtım Merkezi (KDC), doğrulayamadığı bir anahtarla karşılaştı. tam PAC İmzası. Daha fazla bilgi edinmek için https://go.microsoft.com/fwlink/?linkid=2210019 bakın. İstemci : <bölge>/<Ad> |
Tam PAC imzası eksik
| Olay günlüğü | Sistem |
|---|---|
| Olay türü | Uyarı |
| Olay Kaynağı | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Olay Kimliği | 44 |
| Olay metni | Anahtar Dağıtım Merkezi (KDC), tam PAC İmzasını içermeyen bir anahtarla karşılaştı. Daha fazla bilgi edinmek için https://go.microsoft.com/fwlink/?linkid=2210019 bakın. İstemci : <bölge>/<Ad> |
Kerberos protokolünü uygulayan üçüncü taraf cihazlar
Üçüncü taraf etki alanı denetleyicilerine sahip etki alanları, Zorlama modunda hatalarla karşılaşabilir.
8 Kasım 2022 veya sonraki bir Windows güncelleştirmesinin yüklenmesinin ardından üçüncü taraf istemcilere sahip etki alanlarının denetim olaylarından tamamen temizlenmesi daha uzun sürebilir.
Yazılımlarının en son protokol değişikliğiyle uyumlu olup olmadığını belirlemek için cihaz üreticisine (OEM) veya yazılım satıcısına başvurun.
Protokol güncelleştirmeleri hakkında daha fazla bilgi için Microsoft web sitesindeki Windows Protokolü konusuna bakın.
Sözlük
Kerberos Adası
Kerberos, bir ağ üzerinden iletişim kuran düğümlerin kimliklerini birbirlerine güvenli bir şekilde kanıtlamalarına izin vermek için "biletlere" dayalı olarak çalışan bir bilgisayar ağı kimlik doğrulama protokolüdür.
Anahtar Dağıtım Merkezi (KDC)
Kerberos protokolünde belirtilen kimlik doğrulama ve bilet verme hizmetlerini uygulayan Kerberos hizmeti. Hizmet, bölge veya etki alanının yöneticisi tarafından seçilen bilgisayarlarda çalışır; Ağdaki her makinede bulunmaz. Hizmet verdiği bölge için bir hesap veritabanına erişimi olmalıdır. KDC'leretki alanı denetleyicisi rolüyle tümleşiktir. Hizmetlerde kimlik doğrulamasında kullanılmak üzere istemcilere bilet sağlayan bir ağ hizmetidir.
Ayrıcalık Öznitelik Sertifikası (PAC)
Ayrıcalık Öznitelik Sertifikası (PAC), etki alanı denetleyicileri (DC'ler) tarafından sağlanan yetkilendirme ile ilgili bilgileri ileten bir yapıdır. Daha fazla bilgi için bkz. Ayrıcalık Öznitelik Sertifikası Veri Yapısı.
Bilet Veren Bilet
Diğer biletleri almak için kullanılabilecek özel bir bilet türü. Bilet Verme Bileti (TGT), Kimlik Doğrulama Hizmeti (AS) değişimindeki ilk kimlik doğrulamasından sonra elde edilir; bundan sonra, kullanıcıların kimlik bilgilerini ibraz etmelerine gerek yoktur, ancak sonraki biletleri almak için TGT'yi kullanabilirler.