Tóm tắt
Các bản cập nhật 11/01/2022 Windows và các bản cập nhật sau Windows sẽ bổ sung bảo vệ cho CVE-2022-21913.
Sau khi bạn cài đặt các bản cập nhật Windows vào 11/01/2022 hoặc các bản cập nhật mới hơn của Windows, mã hóa Tiêu chuẩn Mã hóa Nâng cao (AES) sẽ được đặt làm phương pháp mã hóa ưu tiên trên máy khách Windows khi bạn sử dụng giao thức thừa tự của Cơ quan Bảo mật Cục bộ (Chính sách Miền) (MS-LSAD) cho các thao tác mật khẩu đối tượng miền tin cậy được gửi qua mạng. Điều này chỉ đúng khi máy chủ hỗ trợ mã hóa AES. Nếu máy chủ không hỗ trợ mã hóa AES, hệ thống sẽ cho phép dự phòng mã hóa RC4 thừa tự.
Các thay đổi trong CVE-2022-21913 dành riêng cho giao thức MS-LSAD. Các giao thức này độc lập với các giao thức khác. MS-LSAD sử dụng Chặn Thông báo Máy chủ (SMB) qua cuộc gọi thủ tục từ xa
(RPC) và đường ống đã đặt tên. Mặc dù SMB cũng hỗ trợ mã hóa, nhưng nó không được bật theo mặc định. Theo mặc định, các thay đổi trong CVE-2022-21913 được bật và cung cấp bảo mật bổ sung ở tầng LSAD. Không yêu cầu thay đổi cấu hình bổ sung nào ngoài việc cài đặt các bảo vệ cho CVE-2022-21913 có trong các bản cập nhật Windows ngày 11 tháng 1 năm 2022 và các bản cập nhật Windows mới hơn trên tất cả các phiên bản được hỗ trợ của Windows. Các phiên bản không được hỗ Windows nên ngừng cung cấp hoặc nâng cấp lên phiên bản được hỗ trợ.
Lưu ýCVE-2022-21913 chỉ sửa đổi cách mã hóa mật khẩu tin cậy trong quá trình truyền khi bạn sử dụng các API cụ thể của giao thức MS-LSAD và đặc biệt không sửa đổi cách lưu trữ mật khẩu. Để biết thêm thông tin về cách mã hóa mật khẩu khi lưu trữ trong Active Directory và cục bộ trong Cơ sở dữ liệu SAM (sổ đăng ký), hãy xem Tổng quan kỹ thuật về Mật khẩu.
Thông tin Bổ sung
Các thay đổi được thực hiện bởi bản cập nhật 11/01/2022
-
Mẫu hình Đối tượng Chính sách
Các bản cập nhật sửa đổi mẫu đối tượng chính sách của giao thức bằng cách thêm một phương pháp Open Policy mới cho phép máy khách và máy chủ chia sẻ thông tin về hỗ trợ AES.Phương pháp cũ sử dụng RC4
Phương pháp mới sử dụng AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Để biết danh sách đầy đủ các số của giao thức MS-LSAR, hãy xem [MS-LSAD]: Sựkiện Xử lý Thư và Quy tắc Trình tự .
-
Mẫu hình Đối tượng Miền Tin cậy
Các bản cập nhật sửa đổi đối tượng miền tin cậy Tạo mẫu hình giao thức bằng cách thêm một phương pháp mới để tạo độ tin cậy sẽ sử dụng AES để mã hóa dữ liệu xác thực.
Giờ đây, LsaCreateTrustedDomainEx API sẽ thích phương pháp mới hơn nếu cả máy khách và máy chủ đều được cập nhật và quay trở lại phương pháp cũ hơn.
Phương pháp cũ sử dụng RC4
Phương pháp mới sử dụng AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Các cập nhật sửa đổi mẫu hình Tập Đối tượng Tên miền Tin cậy của giao thức bằng cách thêm hai Lớp Thông tin Tin cậy mới vào phương pháp LsarSetInformAtionTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Bạn có thể đặt thông tin Đối tượng Miền Tin cậy như sau.
Phương pháp cũ sử dụng RC4
Phương pháp mới sử dụng AES
LsarSetInformationTrustedDomain (Opnum 27) cùng với TrustedDomainAuthInformationInternal hoặc TrustedDomainFullInformationInternal (giữ mật khẩu tin cậy được mã hóa sử dụng RC4)
LsarSetInformationTrustedDomain (Opnum 27) cùng với TrustedDomainAuthInformationInternalAes hoặc TrustedDomainFullFormationAes (giữ mật khẩu tin cậy được mã hóa có sử dụng AES)
LsarSetTrustedDomainInfoByName (Opnum 49) cùng với TrustedDomainAuthInformationInternal hoặc TrustedDomainFullInformationInternal (giữ mật khẩu tin cậy được mã hóa sử dụng RC4 và tất cả các thuộc tính khác)
LsarSetTrustedDomainInfoByName (Opnum 49) cùng với TrustedDomainAuthInformationInternalAes hoặc TrustedDomainFullFormationInternalAes (giữ mật khẩu tin cậy được mã hóa sử dụng AES và tất cả các thuộc tính khác)
Hành vi mới hoạt động như thế nào
Phương pháp LsarOpenPolicy2 hiện có thường được sử dụng để mở một điều khiển ngữ cảnh đến máy chủ RPC. Đây là hàm đầu tiên phải được gọi để liên hệ với cơ sở dữ liệu Giao thức Từ xa của Cơ quan Bảo mật Cục bộ (Chính sách Tên miền). Sau khi bạn cài đặt các bản cập nhật này, phương pháp LsarOpenPolicy2 sẽ được thay thế bằng phương pháp LsarOpenPolicy3 mới.
Một máy khách cập nhật gọi API LsaOpenPolicy giờ đây sẽ gọi phương pháp LsarOpenPolicy3 trước tiên. Nếu máy chủ không được cập nhật và không thực thi phương pháp LsarOpenPolicy3, máy khách sẽ quay trở lại phương pháp LsarOpenPolicy2 và sử dụng các phương pháp trước dùng mã hóa RC4.
Một máy chủ cập nhật sẽ trả về một bit mới trong phản hồi phương pháp LsarOpenPolicy3, như được xác định trong LSAPR_REVISION_INFO_V1. Để biết thêm thông tin, hãy xem các mục "Mức sử dụng Mã bản quyền AES" và "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" trong MS-LSAD.
Nếu máy chủ hỗ trợ AES, máy khách sẽ sử dụng các phương pháp mới và lớp thông tin mới cho các thao tác "tạo" và "đặt" miền tin cậy tiếp theo. Nếu máy chủ không trả về cờ này, hoặc nếu máy khách không được cập nhật, máy khách sẽ quay trở lại dùng các phương pháp trước dùng mã hóa RC4.
Ghi nhật ký sự kiện
Ngày 11 tháng 1 năm 2022, các bản cập nhật sẽ thêm một sự kiện mới vào nhật ký sự kiện bảo mật để giúp xác định những thiết bị không được cập nhật và giúp cải thiện tính bảo mật.
Giá trị |
Ý nghĩa |
---|---|
Nguồn sự kiện |
Microsoft-Windows-Security |
ID Sự kiện |
6425 |
Cấp độ |
Thông tin |
Văn bản tin nhắn sự kiện |
Một máy khách mạng đã sử dụng phương pháp RPC thừa tự để sửa đổi thông tin xác thực trên một đối tượng miền tin cậy. Thông tin xác thực đã được mã hóa bằng thuật toán mã hóa thừa tự. Hãy cân nhắc nâng cấp hệ điều hành máy khách hoặc ứng dụng để sử dụng phiên bản mới nhất và bảo mật hơn của phương pháp này. Tên miền tin cậy:
Người sửa đổi:
Địa chỉ Mạng Máy khách: Để biết thêm thông tin, hãy đi https://go.microsoft.com/fwlink/?linkid=2161080. |
Câu hỏi thường gặp (Câu hỏi thường gặp)
Q1: Kịch bản nào kích hoạt giảm cấp từ AES lên RC4?
A1: Giảm cấp xảy ra nếu máy chủ hoặc máy khách không hỗ trợ AES.
Q2: Làm thế nào để biết mã hóa RC4 hay mã hóa AES đã được thương lượng?
A2: Máy chủ cập nhật sẽ ghi nhật ký sự kiện 6425 khi các phương pháp kế thừa sử dụng RC4 được sử dụng.
Hỏi 3: Tôi có thể yêu cầu mã hóa AES trên máy chủ không và các cập nhật theo chương trình sẽ bắt buộc theo chương trình Windows sử dụng AES không?
A3: Hiện không có chế độ thực thi nào. Tuy nhiên, có thể trong tương lai, mặc dù không có thay đổi nào được lên lịch.
Q4: Máy khách của bên thứ ba có hỗ trợ bảo vệ cho CVE-2022-21913 để thương lượng AES khi máy chủ hỗ trợ không? Tôi có nên liên hệ với bộ phận Hỗ trợ của Microsoft hoặc nhóm hỗ trợ bên thứ ba để giải quyết câu hỏi này không?
A4: Nếu một thiết bị hoặc ứng dụng của bên thứ ba không sử dụng giao thức MS-LSAD thì điều này không quan trọng. Các nhà cung cấp bên thứ ba thực thi giao thức MS-LSAD có thể chọn thực thi giao thức này. Để biết thêm thông tin, hãy liên hệ với nhà cung cấp bên thứ ba.
Q5: Bạn phải thực hiện thêm bất kỳ thay đổi nào về cấu hình?
A5: Không cần thay đổi cấu hình bổ sung nào.
Hỏi 6: Giao thức này sử dụng những gì?
A6: Giao thức MS-LSAD được nhiều cấu phần Windows dùng, bao gồm Active Directory và các công cụ như bảng điều khiển Tên miền và Tin cậy Active Directory. Các ứng dụng cũng có thể sử dụng giao thức này thông qua các API thư viện advapi32, chẳng hạn như LsaOpenPolicy hoặc LsaCreateTrustedDomainEx.