Примітка.
- Оновлено
- 10 квітня 2023 р.: оновлено «Третій етап розгортання» з 11 квітня 2023 р. до 13 червня 2023 р. у розділі «Терміни оновлень для усунення CVE-2022-37967».
У цій статті
- Зведення
- Терміни оновлень для вирішення проблеми CVE-2022-37967
- Рекомендації з розгортання
- Параметри розділу реєстру
- Події Windows, пов'язані з CVE-2022-37967
- Пристрої сторонніх виробників, що впроваджують протокол Kerberos
- Глосарій
Зведення
Оновлення Windows від 8 листопада 2022 р. спрямовані на обхід безпеки та підвищення вразливостей привілеїв за допомогою підписів сертифіката атрибутів прав (PAC). Це оновлення системи безпеки усуває вразливості Kerberos, через які зловмисники можуть цифрово змінити підписи PAC, що підвищить їхні права.
Щоб захистити середовище, інсталюйте це оновлення Windows на всіх пристроях, зокрема на контролерах доменів Windows. Перш ніж переводити оновлення в обов'язковий режим, необхідно оновити всі контролери домену у вашому домені.
Докладні відомості про цю вразливість див. у розділі CVE-2022-37967.
Дійте рішучо
Щоб захистити навколишнє середовище та запобігти перебоям, радимо виконати наведені нижче дії.
- ОНОВІТЬ контролери домену Windows за допомогою оновлення Windows, випущеного 8 листопада 2022 р. або пізніше.
- ПЕРЕМІСТІТЬ контролери домену Windows у режим перевірки за допомогою розділу параметрів розділу "Розділ розділів реєстру ".
- ВІДСТЕЖУЙТЕ події, зареєстровані в режимі перевірки, щоб захистити середовище.
- УВІМКНУТИ Режим примусового застосування для CVE-2022-37967 у вашому середовищі.
Примітка Крок 1 інсталяції оновлень, випущених 8 листопада 2022 р. або пізніше, НЕ вирішує проблеми безпеки в CVE-2022-37967 для пристроїв Windows за замовчуванням. Щоб повністю зменшити наслідки проблеми з безпекою для всіх пристроїв, необхідно перейти в режим аудиту (описаний на кроці 2), а потім – режим примусового (описаний на кроці 4) якомога швидше на всіх контролерах доменів Windows.
Важливо З липня 2023 року режим примусового застосування буде ввімкнуто на всіх контролерах доменів Windows, і він блокуватиме вразливі підключення з пристроїв, які не відповідають вимогам. У цей момент ви не зможете вимкнути оновлення, але можете повернутися до налаштування режиму аудиту. Режим перевірки буде вилучено в жовтні 2023 року, як зазначено в розділі "Терміни оновлень для усунення вразливості Kerberos CVE-2022-37967 ".
Терміни оновлень для вирішення проблеми CVE-2022-37967
Оновлення випускатимуться поетапно: початковий етап для оновлень, випущених 8 листопада 2022 р. або пізніше, і етап застосування оновлень, випущених 13 червня 2023 р. або пізніше.
8 листопада 2022 р. – Етап початкового розгортання
Етап початкового розгортання починається з оновлень, випущених 8 листопада 2022 року, і продовжується пізнішими оновленнями Windows до етапу примусових дій. Це оновлення додає підписи до буфера PAC Kerberos, але не перевіряє наявність підписів під час автентифікації. Таким чином, захищений режим за замовчуванням вимкнуто.
Це оновлення:
- Додає підписи PAC до буфера PAC Kerberos.
- Додано заходи для усунення вразливості протоколу Kerberos, пов'язаної з обходом системи безпеки.
13 грудня 2022 р. – другий етап розгортання
Другий етап розгортання починається з оновлень, випущених 13 грудня 2022 року. Ці та пізніші оновлення вносять зміни до протоколу Kerberos для перевірки пристроїв Windows, переводячи контролери домену Windows у режим перевірки.
З цим оновленням усі пристрої за замовчуванням перебуватимуть у режимі перевірки:
- Якщо підпис відсутній або недійсний, автентифікація дозволяється. Крім того, буде створено контрольний журнал.
- Якщо підпису немає, створіть подію та дозвольте автентифікацію.
- Якщо підпис присутній, перевірте його. Якщо підпис неправильний, викликати подію та дозволити автентифікацію.
13 червня 2023 р. – третій етап розгортання
Оновлення Windows, випущені 13 червня 2023 р. або пізніше, призведуть до таких наслідків:
- Видаліть можливість вимкнути додавання підписів PAC, установивши для підрозділу KrbtgtFullPacSignature значення 0.
11 липня 2023 р. – початковий етап примусового застосування
Оновлення Windows, випущені 11 липня 2023 р. або пізніше, виконуватимуть такі дії:
- Скасовано можливість установлювати значення 1 для підрозділу KrbtgtFullPacSignature .
- Переводить оновлення в режим примусового застосування (за замовчуванням) (KrbtgtFullPacSignature = 3), який може замінити адміністратор за допомогою явного параметра аудиту.
10 жовтня 2023 р. – етап повного правозастосування
Оновлення Windows, випущені 10 жовтня 2023 р. або пізніше, призведуть до таких наслідків:
- Видалено підтримку підрозділу реєстру KrbtgtFullPacSignature.
- Видаляє підтримку режиму аудиту.
- У всіх сервісних квитках без нових підписів PAC буде відмовлено в автентифікації.
Рекомендації з розгортання
Щоб розгорнути оновлення Windows, датовані 8 листопада 2022 року або пізніші оновлення, виконайте такі дії:
- ОНОВІТЬ контролери домену Windows за допомогою оновлення, випущеного 8 листопада 2022 р. або пізніше.
- ПЕРЕМІСТІТЬ контролери домену в режим перевірки за допомогою розділу параметрів розділу "Розділ розділів реєстру ".
- ВІДСТЕЖУЙТЕ події, зареєстровані в режимі перевірки, щоб захистити середовище.
- УВІМКНУТИ Режим примусового застосування для CVE-2022-37967 у вашому середовищі.
КРОК 1. ОНОВЛЕННЯ
Розгорніть оновлення від 8 листопада 2022 року або пізнішої дати для всіх застосовних контролерів доменів Windows. Після розгортання оновлення контролери доменів Windows, які було оновлено, матимуть підписи, додані до буфера PAC Kerberos, і вони працюватимуть у небезпеці за замовчуванням (підпис PAC не перевіряється).
- Під час оновлення переконайтеся, що значення реєстру KrbtgtFullPacSignature залишається в стані за замовчуванням, доки не оновляться всі контролери доменів Windows.
КРОК 2: ПЕРЕМІЩЕННЯ
Після оновлення контролерів домену Windows перейдіть у режим перевірки, змінивши значення KrbtgtFullPacSignature на 2.
КРОК 3: ПОШУК/МОНІТОР
Визначте області, у яких відсутні підписи PAC або деякі підписи PAC не пройшли перевірку, за допомогою журналів подій, які активуються в режимі аудиту.
- Перш ніж переходити в режим примусового виконання, переконайтеся, що для функціонального рівня домену встановлено принаймні 2008 або новішу версію. Перехід у режим примусового застосування з доменами на функціональному рівні домену 2003 може призвести до помилок автентифікації.
- Події аудиту відображаються, якщо домен не повністю оновлено або в домені досі існують невиконані раніше оформлені запити на обслуговування.
- Продовжуйте стежити за додатковими журналами подій, які вказують на відсутність підписів PAC або помилки перевірки наявних підписів PAC.
- Після оновлення всього домену та завершення терміну дії всіх непогашених квитків події аудиту більше не мають відображатися. Після цього ви зможете перейти в режим примусового застосування без збоїв.
КРОК 4. УВІМКНЕННЯ
Увімкніть режим примусового застосування, щоб вирішити проблему CVE-2022-37967 у вашому середовищі.
- Коли всі події перевірки вирішаться та більше не відображатимуться, перенесіть свої домени в режим примусового застосування, оновивши значення реєстру KrbtgtFullPacSignature , як описано в розділі "Параметри розділу реєстру ".
- Якщо квиток на обслуговування має недійсний підпис PAC або в ньому відсутні підписи PAC, перевірку не буде виконано і подія помилки запишеться до журналу.
Параметри розділу реєстру
протокол Kerberos
Після інсталяції оновлень Windows, датованих 8 листопада 2022 р. або пізніше, для протоколу Kerberos доступний такий розділ реєстру:
KrbtgtFullPacSignature
Цей розділ реєстру фіксує розгортання змін Kerberos. Цей розділ реєстру тимчасовий, і його більше не читатимуть після повної дати набрання чинності 10 жовтня 2023 р.
Розділ реєстру HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc Value (Значення) KrbtgtFullPacSignature Тип даних REG_DWORD Дані. 0 – Вимкнено
1 . Нові підписи додаються, але не перевіряються. (Налаштування за замовчуванням)
2 - Режим аудиту. Додаються нові підписи. Вони перевіряються, якщо вони є. Якщо підпис відсутній або недійсний, дозволяється автентифікація та створюються контрольні журнали.
3 – режим примусового застосування. Додаються нові підписи. Вони перевіряються, якщо вони є. Якщо підпис відсутній або недійсний, автентифікацію буде відхилено та створено контрольні журнали.Потрібно перезавантажити? Ні Примітка Якщо потрібно змінити значення реєстру KrbtgtFullPacSignature , додайте та настройте розділ реєстру на заміну стандартного значення.
Події Windows, пов'язані з CVE-2022-37967
У режимі перевірки може з'явитися одна з наведених нижче помилок, якщо підписи PAC відсутні або недійсні. Якщо проблема повторюватиметься в режимі примусового застосування, ці події записуватимуться як помилки.
Якщо ви бачите будь-яку з помилок на своєму пристрої, ймовірно, усі контролери домену Windows у вашому домені не оновлено до оновлень Windows від 8 листопада 2022 року або пізнішої версії. Щоб зменшити ці проблеми, потрібно буде додатково дослідити домен, щоб знайти неоновлені контролери домену Windows.
Примітка Якщо ви знайшли помилку з кодом події 42, перегляньте статтю KB5021131: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37966.
Помилка повного підпису PAC
| Журнал подій | Система |
|---|---|
| Тип події | Попередження |
| Джерело події | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ідентифікатор події | 43 |
| Текст події | Центр розподілу ключів (KDC) виявив квиток, який не міг перевірити повний підпис PAC. Докладні відомості див. в https://go.microsoft.com/fwlink/?linkid=2210019. Клієнт : <область/><ім'я> |
Відсутній повний підпис PAC
| Журнал подій | Система |
|---|---|
| Тип події | Попередження |
| Джерело події | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ідентифікатор події | 44 |
| Текст події | Центр розподілу ключів (KDC) виявив квиток, який не містив повного підпису PAC. Докладні відомості див. в https://go.microsoft.com/fwlink/?linkid=2210019. Клієнт : <область/><ім'я> |
Пристрої сторонніх виробників, що впроваджують протокол Kerberos
Домени, які мають сторонні контролери доменів, можуть бачити помилки в режимі примусового застосування.
Повне очищення доменів від сторонніх клієнтів може зайняти більше часу після інсталяції оновлення Windows від 8 листопада 2022 року або пізнішої версії.
Зверніться до виробника пристрою (OEM) або постачальника програмного забезпечення, щоб дізнатися, чи їхнє програмне забезпечення сумісне з останньою зміною протоколу.
Щоб отримати відомості про оновлення протоколу, див. розділ " Протокол Windows " на веб-сайті Microsoft.
Глосарій
Kerberos
Kerberos — це протокол автентифікації в комп'ютерній мережі, який працює на основі «тікетів», що дозволяє вузлам, що спілкуються через мережу, безпечно підтверджувати свою особу.
Центр розподілу ключів (KDC)
Служба Kerberos, що реалізує послуги автентифікації та надання запитів, указані в протоколі Kerberos. Служба працює на комп'ютерах, вибраних адміністратором області або домену; Він присутній не на кожному комп'ютері в мережі. Він повинен мати доступ до бази даних облікових записів у тій області, яку обслуговує. KDC інтегровано в роль контролера домену . Це мережева служба, яка надає запити клієнтам для використання в автентифікації для отримання послуг.
Сертифікат атрибута прав (PAC)
Сертифікат атрибутів прав (PAC) – це структура, яка передає пов'язані з авторизацією відомості від контролерів домену (DC). Для отримання додаткових відомостей див. розділ "Структура даних сертифіката атрибутів прав".
Квиток на видачу квитка
Особливий тип квитка, який можна використовувати для отримання інших квитків. Квиток на видачу квитків (TGT) отримується після первинної автентифікації в обміні Служби автентифікації (AS); після цього користувачам не потрібно пред'являти свої облікові дані, але вони можуть використовувати TGT для отримання наступних квитків.