Özet
11 Ocak 2022, Windows sonraki güncelleştirmeler Windows DAI-2022-21913 içinkorumalar ekler.
11 Ocak 2022, Windows güncelleştirmelerini veya sonraki Windows güncelleştirmelerini yükledikten sonra, ağ üzerinden gönderilen güvenilen etki alanı nesnesi parola işlemleri için eski Yerel Güvenlik Yetkilisi (Etki Alanı İlkesi) (MS-LSAD) protokolünü kullanırsanız, Windows istemcilerinde tercih edilen şifreleme yöntemi olarak Gelişmiş Şifreleme Standardı (AES) şifrelemesi ayarlanır. Bu yalnızca AES şifrelemesi sunucu tarafından desteklenirse doğrudur. AES şifrelemesi sunucu tarafından desteklenmiyorsa sistem eski RC4 şifrelemesine geri dönüşe izin verir.
THE-2022-21913'daki değişiklikler MS-LSAD protokolüne özeldir. Diğer protokollerden bağımsızdırlar. MS-LSAD uzak yordam çağrısı üzerinden Sunucu İleti Bloğu (SMB) kullanır
(RPC) ve adlandırılmış kanallar. SMB şifrelemeyi de destekliyor olsa da, varsayılan olarak etkin değildir. Varsayılan olarak, THELI-2022-21913'te yapılan değişiklikler etkinleştirilir ve LSAD katmanında ek güvenlik sağlar. 11 Ocak 2022, Windows Windows güncelleştirmelerine ve sonraki sürümlerin desteklenen tüm sürümlerine dahil edilen VE 2022-21913 için KORUMAları yüklemenin dışında Windows yapılandırma değişikliği Windows. Güncelleştirmelerin desteklenmeyen sürümleri Windows devam ettiril olmalı veya desteklenen bir sürüme yükseltilmelidir.
NOT THE-2022-21913, MS-LSAD protokolünün belirli API'lerini kullanıyorsanız ve özel olarak parolaların depolandığı yerde özellikle değişiklik yapmasanız da, yalnızca güvenli parolaların iletili olarak nasıl şifrelenir? değişikliklerini yapar. Active Directory'de ve yerel olarak SAM Veritabanında (kayıt defterinde) depolanan parolaların nasıl şifrelenmeleri hakkında daha fazla bilgi için bkz. Parolalara teknik genel bakış.
Daha fazla bilgi
11 Ocak 2022 güncelleştirmeleri ile yapılan değişiklikler
-
İlke Nesnesi deseni
Güncelleştirmeler, istemcinin ve sunucunun AES desteği hakkında bilgi paylaşmaya olanak sağlayan yeni bir Open Policy yöntemi ekleyerek protokolün İlke Nesnesi desenini değiştirir.RC4 kullanan eski yöntem
AES kullanan yeni yöntem
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
MS-LSAR protokolü işlemlerinin tam listesi için bkz. [MS-LSAD]: İletiİşleme Olayları ve Kuralları YenidenQuening .
-
Güvenilen Etki Alanı Nesnesi deseni
Güncelleştirmeler, kimlik doğrulama verilerini şifrelemek üzere AES'i kullanan bir güven oluşturmak için yeni bir yöntem ekleyerek, protokolün Güvenilen Etki Alanı Nesnesi Oluşturma düzeninde değişiklik gösterir.
İstemci ve sunucu her ikisi de güncelleştirildiğinde ve aksi takdirde eski yönteme geri dönüyorsa LsaCreateTrustedDomainEx API'si artık yeni yöntemi tercih eder.
RC4 kullanan eski yöntem
AES kullanan yeni yöntem
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Güncelleştirmeler, LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49) yöntemlerine iki yeni Güvenilen Bilgi Sınıfı ekleyerek, protokolün Güvenilen Etki Alanı Nesne Kümesi desenini değiştirir. Güvenilen Etki Alanı Nesnesi bilgilerini aşağıdaki gibi kurabilirsiniz.
RC4 kullanan eski yöntem
AES kullanan yeni yöntem
LsarSetInformationTrustedDomain (Opnum 27) ve TrustedDomainAuthInformationInternal veya TrustedDomainFullInformationInternal (RC4 kullanan şifrelenmiş bir güven parolası tutar)
LsarSetInformationTrustedDomain (Opnum 27) ve TrustedDomainAuthInformationInternalAes veya TrustedDomainFullInformationAes ile birlikte (AES kullanan şifrelenmiş bir güven parolası tutar)
LsarSetTrustedDomainInfoByName (Opnum 49), TrustedDomainAuthInformationInternal veya TrustedDomainFullInformationInternal ile birlikte (RC4 ve diğer tüm öznitelikleri kullanan şifrelenmiş bir güven parolası tutar)
LsarSetTrustedDomainInfoByName (Opnum 49) ve TrustedDomainAuthInformationInternalAes veya TrustedDomainFullInformationInternalAes ile birlikte (AES ve tüm diğer öznitelikleri kullanan şifrelenmiş bir güven parolası tutar)
Yeni davranış nasıl çalışır?
Var olan LsarOpenPolicy2 yöntemi genellikle RPC sunucusuna bağlam tutamacı açmak için kullanılır. Bu, Yerel Güvenlik Yetkilisi (Etki Alanı İlkesi) Uzak Protokol veritabanıyla iletişim kurmak için çağrılsı gereken ilk işlevdir. Bu güncelleştirmeleri yükledikten sonra, LsarOpenPolicy2 yönteminin üzerine yeni LsarOpenPolicy3 yöntemi yüklenmiştir.
Artık LsaOpenPolicy API'sini çağıran güncelleştirilmiş bir istemci, önce LsarOpenPolicy3 yöntemini çağıracak. Sunucu güncelleştirilmez ve LsarOpenPolicy3 yöntemini uygulamazsa, istemci LsarOpenPolicy2 yöntemine geri döner ve RC4 şifrelemesi kullanan önceki yöntemleri kullanır.
Güncelleştirilmiş bir sunucu, bu sunucuda tanımlandığı gibi LsarOpenPolicy3 yöntemi yanıtına yeni bir bit LSAPR_REVISION_INFO_V1. Daha fazla bilgi için MS-LSAD'de"AES Şifreleme Kullanımı" ve "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" bölümlerine bakın.
Sunucu AES'i destekliyorsa, istemci sonraki güvenilir etki alanı "oluşturma" ve "ayarlama" işlemleri için yeni yöntemleri ve yeni bilgi sınıflarını kullanır. Sunucu bu bayrağı getirmüyorsa veya istemci güncelleştirilmezse, istemci RC4 şifrelemesi kullanan önceki yöntemleri kullanmaya döner.
Olay günlüğü
11 Ocak 2022 güncelleştirmeleri, güncelleştirilmiş cihazları tanımlamaya ve güvenliği artırmaya yardımcı olmak için güvenlik olayı günlüğüne yeni bir olay ekler.
Değer |
Anlamı |
---|---|
Olay kaynağı |
Microsoft-Windows-Security |
Olay Kimliği |
6425 |
Düzey |
Bilgi |
Olay iletisi metni |
Bir ağ istemcisi, güvenilir bir etki alanı nesnesinde kimlik doğrulama bilgilerini değiştirmek için eski bir RPC yöntemi kullandı. Kimlik doğrulama bilgileri eski bir şifreleme algoritmasıyla şifrelenmiştir. Bu yöntemin en son ve daha güvenli sürümünü kullanmak için istemci işletim sistemini veya uygulamasını yükseltmeyi göz önünde bulundurabilirsiniz. Güvenilen Etki Alanı:
Değiştiren:
İstemci Ağı Adresi: Daha fazla bilgi için, https://go.microsoft.com/fwlink/?linkid=2161080. |
Sık Sorulan Sorular (SSS)
S1: Hangi senaryolar AES'den RC4'e düşürmeyi tetikler?
A1: Sunucu veya istemci AES'i desteklemezse, bir yükleme oluşur.
S2: RC4 şifrelemesi veya AES şifrelemesi üzerinde görüşme olup olmadığını nasıl an söyleyebilirim?
A2: RC4 kullanan eski yöntemler kullanılırken güncelleştirilmiş sunucular 6425 olayı günlüğe kaydedilir.
S3: Sunucuda AES şifrelemesi gerekli olabilir mi ve gelecekte Windows AES kullanılarak programlı olarak zorunlu kılınacak mı?
A3: Şu anda kullanılabilir zorlama modu yoktur. Bununla birlikte, gelecekte böyle bir değişiklik planlanamasa da bu olabilir.
S4: Üçüncü taraf istemcileri, sunucu tarafından destekleri olduğunda AES üzerinde görüşme yapmak için ASP-2022-21913 korumalarını destekler mi? Bu sorunun yanıtlarını almak için Microsoft Desteği'ne veya üçüncü taraf destek ekibine başvursun musunuz?
A4: MS-LSAD protokolünü üçüncü taraf bir cihaz veya uygulama kullanıyorsa, bu önemli değildir. MS-LSAD protokolünü uygulayan üçüncü taraf satıcılar bu protokolü uygulamayı seçebilir. Daha fazla bilgi için üçüncü taraf satıcıyla iletişime geçin.
S5: Ek yapılandırma değişiklikleri yapmak zorunda musunuz?
A5: Ek yapılandırma değişikliği gerekmez.
S6: Bu protokolün kullanımı nedir?
A6: MS-LSAD protokolü, Active Directory Windows ve Active Directory Etki Alanları ve Güven konsolu gibi araçlar gibi birçok farklı bileşen tarafından kullanılır. Uygulamalar bu protokolü, LsaOpenPolicy veya LsaCreateTrustedDomainExgibi advapi32 kitaplık API'leri aracılığıyla da kullanabilir.