Загальні відомості
У 11 січня 2022 року Windows та новіших версіях Windows з'явилися оновлення для CVE-2022-21913.
Якщо інсталювати оновлення від 11 січня 2022 року до Windows або пізнішої версії оновлень Windows, шифрування за допомогою розширеного стандарту шифрування (AES) установлюється основним методом шифрування в клієнтах Windows під час використання застарілого протоколу Локальний центр безпеки (MS-LSAD) для операцій із паролями об'єктів домену, які надсилаються через мережу. Це можна зробити, лише якщо сервер підтримує шифрування AES. Якщо сервер не підтримує шифрування AES, система дозволить резервний режим шифрування RC4попередніх версій .
Зміни в CVE-2022-21913 характерні для протоколу MS-LSAD. Вони незалежні від інших протоколів. Під час віддаленого виклику за допомогою MS-LSAD використовується блок повідомлень сервера (SMB)
(RPC) і іменовані канали. Хоча SMB також підтримує шифрування, за замовчуванням його не ввімкнуто. За замовчуванням зміни в CVE-2022-21913 увімкнуто та забезпечують додатковий захист на шарі LSAD. Для інсталяції захисту для CVE-2022-21913, які входять до 11 січня 2022 року, не потрібно жодних додаткових змін конфігурації, а Windows та новіших Windows оновлень для всіх підтримуваних версій Windows. Непідтримувані версії Windows слід припинити або оновити до підтримуваної версії.
Зверніть увагу, щоCVE-2022-21913 змінює лише спосіб шифрування паролів, що шифруються, коли використовуються певні API протоколу MS-LSAD, і не змінює спосіб збереження паролів. Докладні відомості про те, як паролі шифруються в Active Directory та локально в базі даних SAM (реєстрі), див. в статті Технічний огляд паролів.
Додаткова інформація
Зміни, внесені до 11 січня 2022 року, оновлення
-
Шаблон об'єкта політики
Оновлення змінює шаблон об'єкта політики протоколу додаванням нового методу відкритої політики, який дає змогу клієнту та серверу обмінюватися відомостями про підтримку AES.Старий метод із використанням RC4
Новий метод за допомогою AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Повний список протоколів MS-LSAR opnums див. в [MS-LSAD]: Повідомлення,події обробки та правила послідовності.
-
Шаблон об'єкта домену з надійними доменами
Оновлення змінює шаблон створення довірених об'єктів домену за допомогою нового методу, щоб створити довіру, яка використовуватиме AES для шифрування даних автентифікації.
Інтерфейс API LsaCreateTrustedDomainEx тепер віддає перевагу новому методу, якщо клієнт і сервер оновлюються та повертаються до старішого методу в іншому випадку.
Старий метод із використанням RC4
Новий метод за допомогою AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Оновлення змінює шаблон набору об'єктів домену, додавши два нових класи надійних відомостей до методу LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainfoByName (Opnum 49). Нижче наведено відомості про надійні об'єкти домену.
Старий метод із використанням RC4
Новий метод за допомогою AES
LsarSetInformationTrustedDomain (Opnum 27) разом із trustedDomainAuthInformationInternal або TrustedDomainFullInformationInternal (містить зашифрований пароль довіри, який використовує RC4)
LsarSetInformationTrustedDomain (Opnum 27) разом із trustedDomainAuthInformationInternalAes або TrustedDomainFullInformationAes (містить зашифрований пароль довіри, який використовує AES)
LsarSetTrustedDomainInfoByName (Opnum 49) разом із trustedDomainAuthInformationInternal або TrustedDomainFullInformationInternal (містить зашифрований пароль довіри, який використовує RC4 та всі інші атрибути)
LsarSetTrustedDomainFoByName (Opnum 49) разом із trustedDomainAuthInformationInternalAes або TrustedDomainFullInformationInternalAes (містить зашифрований надійний пароль, який використовує AES і всі інші атрибути)
Принцип роботи нової поведінки
Наявний метод LsarOpenPolicy2 зазвичай використовується, щоб відкрити контекстний маркер на сервері RPC. Це перша функція, яку потрібно викликати, щоб зв'язатися з базою даних віддаленого протоколу безпеки (domain Policy). Після інсталяції цих оновлень метод LsarOpenPolicy2 замінено новим методом LsarOpenPolicy3.
Оновлений клієнт, який викликає API LsaOpenPolicy, спочатку викликає метод LsarOpenPolicy3. Якщо сервер не оновлюється та не впроваджує метод LsarOpenPolicy3, клієнт повертається до методу LsarOpenPolicy2, який використовує попередні методи шифрування RC4.
Оновлений сервер поверне новий біт у відповіді методу LsarOpenPolicy3, як визначено в LSAPR_REVISION_INFO_V1. Докладні відомості див. в розділах "Використання шифрів AES" і "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" в MS-LSAD.
Якщо сервер підтримує AES, клієнт використовуватиме нові методи та нові класи відомостей для подальших операцій "створення" та "набору" надійного домену. Якщо сервер не повертає цю позначку або клієнт не оновлюється, клієнт повернеться до використання попередніх методів шифрування RC4.
Журналювання подій
11 січня 2022 року оновлення додає нову подію до журналу подій системи безпеки, щоб визначити пристрої, які не оновлюються, і підвищити рівень безпеки.
|
Значення |
Значення |
|---|---|
|
Джерело подій |
Microsoft-Windows-Security |
|
Код події |
6425 |
|
Рівень |
Відомості |
|
Текст повідомлення про подію |
Щоб змінити відомості для автентифікації для надійного об'єкта домену, у мережевому клієнті використовується застарілий метод RPC. Відомості про автентифікацію зашифровано за допомогою застарілого алгоритму шифрування. Щоб використовувати найновішу та безпечнішу версію цього методу, оновіть клієнтську операційну систему або програму. Надійний домен:
Автор змін:
Мережева адреса клієнта: Докладні відомості див. вhttps://go.microsoft.com/fwlink/?linkid=2161080 . |
Запитання й відповіді
Кв1. Які сценарії ініціають понизу з AES до RC4?
A1: Понизити номер відбувається, якщо сервер або клієнт не підтримує AES.
2 кв. Як визначити, чи було узгоджено шифрування RC4 або AES?
A2: Оновлені сервери записуватимуться до журналу події 6425, коли використовуються застарілі методи, які використовують RC4.
Кв3. Чи можна вимагати шифрування AES на сервері та чи майбутні оновлення Windows програмно застосовувати за допомогою AES?
A3: Зараз режим виконання недоступний. Проте в майбутньому це може бути, хоча така зміна не планується.
Запитання 4. Чи підтримують клієнти сторонніх постачальників захисти для CVE-2022-21913, щоб узгоджувати AES, якщо підтримує сервер? Чи потрібно звернутися до служби підтримки Microsoft або до команди підтримки сторонніх постачальників, щоб вирішити це запитання?
A4: Якщо пристрій або програма сторонніх постачальників не використовує протокол MS-LSAD, це не важливо. Сторонні постачальники, які реалізували протокол MS-LSAD, можуть реалізувати цей протокол. Щоб отримати додаткові відомості, зверніться до стороннього постачальника.
П5. Чи потрібно внести будь-які додаткові зміни до конфігурації?
A5: Додаткові зміни до конфігурації не потрібні.
Запитання 6. Що використовує цей протокол?
A6: Протокол MS-LSAD використовується в багатьох Windows компонентах, зокрема в Active Directory, і такими засобами, як консоль доменів і довірених служб Active Directory. Програми також можуть використовувати цей протокол через інтерфейси API бібліотеки advapi32, наприклад LsaOpenPolicy або LsaCreateTrustedDomainEx.
