Nhật ký thay đổi
Thay đổi 1: Ngày 19 tháng 6 năm 2023:
|
Trong bài viết này
Tóm tắt
Các bản cập nhật Windows được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022 giải quyết vấn đề bảo mật bỏ qua và nâng cao lỗ hổng đặc quyền với Đàm phán xác thực bằng cách sử dụng đàm phán RC4-HMAC yếu.
Bản cập nhật này sẽ đặt AES làm loại mã hóa mặc định cho khóa phiên trên tài khoản chưa được đánh dấu bằng loại mã hóa mặc định.
Để giúp bảo vệ môi trường của bạn, hãy cài đặt các bản cập nhật Windows được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022 cho tất cả các thiết bị, bao gồm cả bộ kiểm soát miền. Xem Thay đổi 1.
Để tìm hiểu thêm về các lỗ hổng này, hãy xem CVE-2022-37966.
Khám phá rõ ràng đặt kiểu mã hóa khóa phiên
Bạn có thể đã xác định rõ các loại mã hóa trên tài khoản người dùng của mình, những tài khoản này dễ gặp phải CVE-2022-37966. Tìm kiếm các tài khoản mà DES / RC4 được bật rõ ràng nhưng không phải AES bằng cách sử dụng truy vấn Active Directory sau đây:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Cài đặt Khóa Đăng ký
Sau khi cài đặt các bản cập nhật Windows được cập nhật vào hoặc sau ngày 8 tháng 11 năm 2022, khóa đăng ký sau đây có sẵn cho giao thức Kerberos:
DefaultDomainSupportedEncTypes
Khóa đăng ký |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
Giá trị |
DefaultDomainSupportedEncTypes |
Kiểu dữ liệu |
REG_DWORD |
Giá trị dữ liệu |
0x27 (Mặc định) |
Bạn cần khởi động lại? |
Không |
Lưu ý Nếu bạn phải thay đổi Kiểu Mã hóa Được hỗ trợ mặc định cho người dùng hoặc máy tính Active Directory, hãy thêm theo cách thủ công và cấu hình khóa đăng ký để đặt Kiểu Mã hóa Được hỗ trợ mới. Bản cập nhật này không tự động thêm khóa đăng ký.
Bộ kiểm soát miền Windows sử dụng giá trị này để xác định các loại mã hóa được hỗ trợ trên các tài khoản trong Active Directory có giá trị msds-SupportedEncryptionType trống hoặc không được đặt. Máy tính đang chạy phiên bản được hỗ trợ của hệ điều hành Windows sẽ tự động đặt msds-SupportedEncryptionTypes cho tài khoản máy đó trong Active Directory. Điều này dựa trên giá trị được đặt cấu hình của các kiểu mã hóa mà giao thức Kerberos được phép sử dụng. Để biết thêm thông tin, hãy xem Bảo mật mạng: Đặt cấu hình các kiểu mã hóa được phép cho Kerberos.
Tài khoản người dùng, tài khoản Dịch vụ được Quản lý theo Nhóm và các tài khoản khác trong Active Directory không tự động đặt giá trị msds-SupportedEncryptionTypes .
Để tìm Loại mã hóa được Hỗ trợ mà bạn có thể đặt theo cách thủ công, vui lòng tham khảo Loại Mã hóa Được hỗ trợ Cờ Bit. Để biết thêm thông tin, hãy xem những việc bạn nên làm trước tiên để giúp chuẩn bị môi trường và ngăn chặn sự cố xác thực Kerberos.
Giá trị mặc định 0x27 (DES, RC4, AES Session Keys) đã được chọn là thay đổi tối thiểu cần thiết cho bản cập nhật bảo mật này. Chúng tôi khuyên khách hàng nên đặt giá trị để 0x3C bảo mật cao hơn vì giá trị này sẽ cho phép cả vé mã hóa AES và khóa phiên AES. Nếu khách hàng đã làm theo hướng dẫn của chúng tôi để di chuyển đến môi trường chỉ AES mà RC4 không được sử dụng cho giao thức Kerberos, chúng tôi khuyên khách hàng nên đặt giá trị thành 0x38. Xem Thay đổi 1.
Các sự kiện Windows liên quan đến CVE-2022-37966
Trung tâm Phân phối Khóa Kerberos thiếu khóa mạnh cho tài khoản
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Lỗi |
Nguồn Sự kiện |
Kdcsvc |
ID Sự kiện |
42 |
Văn bản Sự kiện |
Trung tâm Phân phối Khóa Kerberos thiếu khóa mạnh cho tài khoản: accountname. Bạn phải cập nhật mật khẩu của tài khoản này để ngăn chặn việc sử dụng mật mã không an toàn. Hãy xem https://go.microsoft.com/fwlink/?linkid=2210019 để tìm hiểu thêm. |
Nếu bạn gặp lỗi này, bạn có thể phải đặt lại mật khẩu krbtgt trước khi đặt KrbtgtFullPacSingature = 3 hoặc cài đặt Windows Cập nhật được phát hành vào hoặc sau ngày 11 tháng 7 năm 2023. Bản cập nhật theo chương trình cho phép thực thi chế độ cho CVE-2022-37967 được ghi lại trong bài viết sau đây trong Cơ sở Kiến thức Microsoft:
KB5020805: Cách quản lý thay đổi giao thức Kerberos liên quan đến CVE-2022-37967
Để biết thêm thông tin về cách thực hiện việc này, hãy xemNew-KrbtgtKeys.ps1 đề tài liệu trên trang web GitHub.
Câu hỏi Thường Gặp (Câu hỏi Thường Gặp) và Sự cố Đã biết
Tài khoản được gắn cờ cho rõ ràng RC4 sử dụng dễ bị tổn thương. Ngoài ra, môi trường không có khóa phiên AES trong tài khoản krbgt có thể dễ bị tổn thương. Để giảm thiểu sự cố này, hãy làm theo hướng dẫn về cách xác định các lỗ hổng và sử dụng phần thiết đặt Khóa Đăng ký để cập nhật các mặc định mã hóa được đặt rõ ràng.
Bạn sẽ cần xác minh rằng tất cả các thiết bị của bạn đều có kiểu Mã hóa Kerberos phổ biến. Để biết thêm thông tin về các loại Mã hóa Kerberos, hãy xem Giải mã Các loại Mã hóa Kerberos được Hỗ trợ.
Môi trường không có kiểu Mã hóa Kerberos thông thường trước đây có thể đã hoạt động do tự động thêm RC4 hoặc bổ sung AES, nếu RC4 bị vô hiệu hóa thông qua chính sách nhóm bởi bộ kiểm soát miền. Hành vi này đã thay đổi với các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022 và bây giờ sẽ tuân thủ nghiêm ngặt những gì được đặt trong khóa đăng ký, msds-SupportedEncryptionTypes và DefaultDomainSupportedEncTypes.
Nếu tài khoản không có bộ msds-SupportedEncryptionTypes hoặc được đặt thành 0, bộ kiểm soát miền sẽ giả định giá trị mặc định là 0x27 (39) hoặc bộ kiểm soát miền sẽ sử dụng cài đặt trong khóa đăng ký DefaultDomainSupportedEncTypes.
Nếu tài khoản có bộ msds-SupportedEncryptionTypes , cài đặt này sẽ vinh dự và có thể gây ra lỗi khi đặt cấu hình loại Mã hóa Kerberos phổ biến bị che bởi hành vi trước đó là tự động thêm RC4 hoặc AES, không còn hành vi này sau khi cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022.
Để biết thông tin về cách xác minh bạn có kiểu Mã hóa Kerberos phổ biến, hãy xem câu hỏi Làm cách nào để tôi có thể xác minh rằng tất cả các thiết bị của tôi có kiểu Mã hóa Kerberos phổ biến?
Xem câu hỏi trước để biết thêm thông tin về lý do thiết bị của bạn có thể không có loại Mã hóa Kerberos phổ biến sau khi cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022.
Nếu bạn đã cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022, bạn có thể phát hiện các thiết bị không có kiểu Mã hóa Kerberos phổ biến bằng cách xem Nhật ký Sự kiện cho Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, giúp xác định loại mã hóa phân chia giữa máy khách Kerberos và máy chủ hoặc dịch vụ từ xa.
Việc cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022 trên máy khách hoặc máy chủ vai trò không thuộc Bộ kiểm soát Miền không ảnh hưởng đến xác thực Kerberos trong môi trường của bạn.
Để giảm thiểu sự cố đã biết này, hãy mở cửa sổ Dấu nhắc Lệnh với tư cách Người quản trị và tạm thời sử dụng lệnh sau đây để đặt khóa đăng ký KrbtgtFullPacSignature thành 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Lưu ý Sau khi sự cố đã biết này được giải quyết, bạn nên đặt KrbtgtFullPacSignature thành cài đặt cao hơn tùy thuộc vào môi trường của bạn sẽ cho phép. Chúng tôi khuyên bạn nên bật chế độ Thực thi ngay khi môi trường của bạn sẵn sàng.
Các bước tiếp theoChúng tôi đang tìm giải pháp và sẽ cung cấp bản cập nhật trong một bản phát hành sắp tới.
Sau khi cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022 trên bộ kiểm soát miền của bạn, tất cả các thiết bị phải hỗ trợ ký phiếu AES theo yêu cầu để tuân thủ yêu cầu kiểm soát bảo mật đối với CVE-2022-37967.
Các bước Tiếp theo Nếu bạn đang chạy phần mềm và vi chương trình cập nhật nhất cho các thiết bị không chạy Windows và đã xác minh rằng có kiểu Mã hóa phổ biến sẵn dùng giữa bộ kiểm soát miền Windows và các thiết bị không chạy Windows, bạn sẽ cần liên hệ với nhà sản xuất thiết bị (OEM) để được trợ giúp hoặc thay thế thiết bị bằng thiết bị tuân thủ.
QUAN TRỌNG Chúng tôi khuyên bạn không nên sử dụng bất kỳ giải pháp thay thế nào để cho phép các thiết bị không tuân thủ xác thực, vì điều này có thể khiến môi trường của bạn dễ bị tổn thương.
Các phiên bản Windows không được hỗ trợ bao gồm Windows XP, Windows Server 2003, Windows Server 2008 SP2 và Windows Server 2008 R2 SP1 không thể truy cập được bằng các thiết bị Windows được cập nhật trừ khi bạn có giấy phép ESU. Nếu bạn có giấy phép ESU, bạn sẽ cần cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022 và xác minh rằng cấu hình của bạn có loại Mã hóa phổ biến khả dụng giữa tất cả các thiết bị.
Các bước Tiếp theo Cài đặt bản cập nhật, nếu có sẵn cho phiên bản Windows của bạn và bạn có giấy phép ESU hiện hành. Nếu không có bản cập nhật, bạn sẽ cần nâng cấp lên phiên bản Windows được hỗ trợ hoặc di chuyển bất kỳ ứng dụng hoặc dịch vụ nào sang thiết bị tương thích.
QUAN TRỌNG Chúng tôi khuyên bạn không nên sử dụng bất kỳ giải pháp thay thế nào để cho phép các thiết bị không tuân thủ xác thực, vì điều này có thể khiến môi trường của bạn dễ bị tổn thương.
Sự cố đã biết này đã được giải quyết trong các bản cập nhật ngoài dải được phát hành vào ngày 17 tháng 11 năm 2022 và ngày 18 tháng 11 năm 2022 để cài đặt trên tất cả các bộ kiểm soát miền trong môi trường của bạn. Bạn không cần cài đặt bất kỳ bản cập nhật nào hoặc thực hiện bất kỳ thay đổi nào đối với máy chủ hoặc thiết bị máy khách khác trong môi trường của bạn để giải quyết sự cố này. Nếu bạn đã sử dụng bất kỳ giải pháp thay thế hoặc biện pháp giảm nhẹ nào cho sự cố này thì chúng sẽ không còn cần thiết nữa và chúng tôi khuyên bạn nên loại bỏ chúng.
Để tải gói độc lập cho các bản cập nhật ban đầu này, hãy tìm kiếm số KB trong Danh mục Microsoft Update. Bạn có thể nhập các bản cập nhật này vào Dịch vụ Cập nhật Windows Server (WSUS) và Microsoft Endpoint Configuration Manager. Để biết hướng dẫn về WSUS, hãy xem WSUS và Site Danh mục. Để biết hướng dẫn về Bộ quản lý Cấu hình, hãy xem Nhập bản cập nhật từ Danh mục Microsoft Update.
Lưu ý Các bản cập nhật sau không khả dụng từ các Windows Update và sẽ không được cài đặt tự động.
Các bản cập nhật tích lũy:
Lưu ý Bạn không cần áp dụng bất kỳ bản cập nhật nào trước đó trước khi cài đặt các bản cập nhật tích lũy này. Nếu bạn đã cài đặt các bản cập nhật đã được phát hành vào ngày 8 tháng 11 năm 2022, bạn không cần gỡ cài đặt các bản cập nhật bị ảnh hưởng trước khi cài đặt bất kỳ bản cập nhật nào sau này bao gồm các bản cập nhật được liệt kê ở trên.
Phiên bản Cập nhật lập:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (phát hành ngày 18 tháng 11 năm 2022)
-
Windows Server 2008 SP2: KB5021657
Lưu ý
-
Nếu bạn sử dụng các bản cập nhật dành riêng cho bảo mật cho các phiên bản Windows Server này, bạn chỉ cần cài đặt các bản cập nhật độc lập này trong tháng 11 năm 2022. Các bản cập nhật dành riêng cho bảo mật không tích lũy và bạn cũng sẽ cần cài đặt tất cả các bản cập nhật dành riêng cho bảo mật trước đó để được cập nhật đầy đủ. Các bản cập nhật Tổng hợp Hàng tháng được tích lũy và bao gồm bản cập nhật bảo mật và tất cả các bản cập nhật chất lượng.
-
Nếu sử dụng các bản cập nhật Tổng hợp Hàng tháng, bạn sẽ cần cài đặt cả hai bản cập nhật độc lập được liệt kê ở trên để giải quyết sự cố này và cài đặt Bản tổng hợp Hàng tháng được phát hành vào ngày 8 tháng 11 năm 2022 để nhận các bản cập nhật chất lượng cho tháng 11 năm 2022. Nếu bạn đã cài đặt các bản cập nhật đã được phát hành vào ngày 8 tháng 11 năm 2022, bạn không cần gỡ cài đặt các bản cập nhật bị ảnh hưởng trước khi cài đặt bất kỳ bản cập nhật nào sau này bao gồm các bản cập nhật được liệt kê ở trên.
Nếu bạn đã xác minh cấu hình môi trường của mình và vẫn gặp phải sự cố với mọi hoạt động triển khai Kerberos không phải của Microsoft, bạn sẽ cần các bản cập nhật hoặc hỗ trợ từ nhà phát triển hoặc nhà sản xuất ứng dụng hoặc thiết bị đó.
Có thể giảm thiểu sự cố đã biết này bằng cách thực hiện một trong các thao tác sau:
-
Đặt msds-SupportedEncryptionTypes bằng bitwise hoặc đặt thành giá trị mặc định hiện 0x27 giữ nguyên giá trị hiện tại của nó. Ví dụ:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Đặt msds-SupportEncryptionTypes thành0 để cho phép bộ kiểm soát miền sử dụng giá trị mặc định 0x27.
Các bước tiếp theoChúng tôi đang tìm giải pháp và sẽ cung cấp bản cập nhật trong một bản phát hành sắp tới.
Thuật ngữ
Advanced Encryption Standard (AES) là một mật mã khối thay thế Tiêu chuẩn Mã hóa Dữ liệu (DES). AES có thể được sử dụng để bảo vệ dữ liệu điện tử. Thuật toán AES có thể được sử dụng để mã hóa (mã hóa) và giải mã thông tin (giải mã). Mã hóa chuyển đổi dữ liệu thành biểu mẫu không thể hiểu được gọi là văn bản mật mã; việc giải mã văn bản mật mã sẽ chuyển đổi dữ liệu trở lại dạng ban đầu của nó, được gọi là văn bản thuần. AES được sử dụng trong mật mã khóa đối xứng, có nghĩa là cùng một khóa được sử dụng cho các thao tác mã hóa và giải mã. Nó cũng là một mật mã khối, có nghĩa là nó hoạt động trên các khối có kích thước cố định của văn bản thuần và văn bản mật mã, và đòi hỏi kích thước của văn bản đồng bằng cũng như văn bản mật mã phải là bội số chính xác của kích thước khối này. AES còn được gọi là thuật toán mã hóa đối xứng Rijndael [FIPS197].
Kerberos là một giao thức xác thực mạng máy tính hoạt động dựa trên "vé" để cho phép các nút giao tiếp qua mạng để chứng minh danh tính của họ với nhau một cách an toàn.
Dịch vụ Kerberos thực thi các dịch vụ xác thực và cấp phiếu được chỉ định trong giao thức Kerberos. Dịch vụ này chạy trên các máy tính được lựa chọn bởi người quản trị của các vùng hoặc tên miền; nó không hiện diện trên tất cả các máy trên mạng. Nó phải có quyền truy cập vào một cơ sở dữ liệu tài khoản cho các khu vực mà nó phục vụ. KDC được tích hợp vào vai trò bộ kiểm soát miền. Nó là một dịch vụ mạng cung cấp vé cho khách hàng để sử dụng trong xác thực dịch vụ.
RC4-HMAC (RC4) là một giải thuật mã hóa đối xứng độ dài khóa biến đổi. Để biết thêm thông tin, hãy xem [SCHNEIER] phần 17.1.
Một loại vé đặc biệt có thể được sử dụng để nhận các vé khác. Vé cấp vé (TGT) thu được sau khi xác thực ban đầu trong giao dịch dịch vụ xác thực (AS); sau đó, người dùng không cần phải trình bày thông tin đăng nhập của họ, nhưng có thể sử dụng TGT để lấy vé tiếp theo.