摘要
2022 年 1 月 11 日 Windows 更新及更高版本 Windows 更新为 CVE-2022-21913 添加了保护。
安装 2022 年 1 月 11 日的 Windows 更新或更高版本的 Windows 更新后,当将旧版本地安全机构(域策略)(MS-LSAD) 协议用于通过网络发送的受信任域对象密码操作时,高级加密标准 (AES) 加密将设置为 Windows 客户端上的首选加密方法。 这仅在服务器支持 AES 加密时适用。 如果服务器不支持 AES 加密,系统将允许回退到旧版 RC4 加密。
CVE-2022-21913 中的改变特定于 MS-LSAD 协议。 它们独立于其他协议。 MS-LSAD 通过远程过程调用 (RPC) 和命名管道使用服务器消息块 (SMB)
。 尽管 SMB 也支持加密,但默认情况下不启用加密。 默认启用 CVE-2022-21913 中的更改,并提供 LSAD 层的额外安全性。 除了在所有受支持的 Windows 版本安装 2022 年 1 月 11 日 Windows 更新和更高版本 Windows 更新中包含的 CVE-2022-21913 保护外,无需进行任何其他配置更改。 不支持的 Windows 版本应停用或升级到支持的版本。
请注意, CVE-2022-21913 仅修改使用 MS-LSAD 协议的特定 API 时信任密码在传输中加密的方式,具体而言,请勿修改密码的静态存储方式。 有关如何对密码在 Active Directory 中静态加密和在 SAM 数据库(注册表)中本地加密的更多信息,请参阅密码技术概述。
更多信息
2022 年 1 月 11 日更新所做的更改
-
策略对象模式
更新通过添加新的开放策略方法来修改协议的策略对象模式,该方法使客户端和服务器能够共享有关 AES 支持的信息。使用 RC4 的旧方法
使用 AES 的新方法
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
有关 MS-LSAR 协议 opnum 的完整列表,请参阅 [MS-LSAD]:消息处理事件和排序规则。
-
“受信任的域对象”模式
更新通过添加一种新方法来创建将使用 AES 加密身份验证数据的信任来修改协议的“受信任的域对象创建”模式。
如果客户端和服务器都已更新,LsaCreateTrustedDomainEx API 现在将优先使用该新方法,否则将回退到旧方法。
使用 RC4 的旧方法
使用 AES 的新方法
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
通过向 LsarSetInformationTrustedDomain (Opnum 27)、LsarSetTrustedDomainInfoByName (Opnum 49) 添加两个新的“受信任的信息类”,更新修改了协议的“受信任的域对象设置”模式。 可以按如下所示设置“受信任的域对象”信息。
使用 RC4 的旧方法
使用 AES 的新方法
LsarSetInformationTrustedDomain (Opnum 27) 和 TrustedDomainAuthInformationInternal 或 TrustedDomainFullInformationInternal(保存使用 RC4 的加密信任密码)
LsarSetInformationTrustedDomain (Opnum 27) 和 TrustedDomainAuthInformationInternalAes 或 TrustedDomainFullInformationAes(保存使用 AES 的加密信任密码)
LsarSetTrustedDomainInfoByName (Opnum 49) 和 TrustedDomainAuthInformationInternal 或 TrustedDomainFullInformationInternal(保存使用 RC4 和所有其他属性的加密信任密码)
LsarSetTrustedDomainInfoByName (Opnum 49) 和 TrustedDomainAuthInformationInternalAes 或 TrustedDomainFullInformationInternalAes(保存使用 AES 和所有其他属性的加密信任密码)
新行为如何工作
现有的 LsarOpenPolicy2 方法通常用于打开 RPC 服务器的上下文句柄。 这是联系“本地安全机构(域策略)远程协议”数据库所必须调用的第一个函数。 安装这些更新后,LsarOpenPolicy2 方法将被新的 LsarOpenPolicy3 方法取代。
调用 LsaOpenPolicy API 的已更新客户端现在将首先调用 LsarOpenPolicy3 方法。 如果服务器未更新且未实现 LsarOpenPolicy3 方法,则客户端回退到 LsarOpenPolicy2 方法,并使用以前的使用 RC4 加密的方法。
更新的服务器将在 LsarOpenPolicy3 方法响应中返回新位,如 LSAPR_REVISION_INFO_V1 中定义。 有关详细信息,请参阅 MS-LSAD 中的“AES 密码用法”和“LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES”部分。
如果服务器支持 AES,则客户端将使用新方法和新的信息类来执行后续受信任的域“create”和“set”操作。 如果服务器未返回此标志或客户端未更新,则客户端将回退到使用 RC4 加密的先前方法。
事件记录
2022 年 1 月 11 日更新向安全事件日志添加了一个新事件,以帮助识别未更新的设备,并帮助提高安全性。
值 |
含义 |
---|---|
事件源 |
Microsoft-Windows-Security |
事件 ID |
6425 |
级别l |
信息 |
事件消息文本 |
网络客户端使用旧版 RPC 方法来修改受信任域对象的身份验证信息。 身份验证信息使用旧版加密算法进行加密。 请考虑升级客户端操作系统或应用程序,以使用此方法的最新且更安全的版本。 受信任域:
修改者:
客户端网络地址: |
常见问题解答 (FAQ)
问题 1:哪些场景会触发从 AES 降级到 RC4?
A1: 如果服务器或客户端不支持 AES,会发生降级。
问题 2:如何判断 RC4 加密或 AES 加密是经过协商的?
A2:使用采用 RC4 的旧版方法时,更新的服务器将记录事件 6425。
问题 3:我是否需要在服务器上进行 AES 加密,以后的 Windows 更新是否会以编程方式强制使用 AES?
A3:目前没有可用的强制模式。 然而,尽管没有安排此类更改,未来可能会有。
问题 4:第三方客户端是否支持 CVE-2022-21913 的保护,在服务器支持时协商 AES? 我应该联系 Microsoft 支持还是第三方支持团队来解决这个问题?
A4:如果第三方设备或应用程序未使用 MS-LSAD 协议,则这一点并不重要。 执行 MS-LSAD 协议的第三方供应商可能会选择执行此协议。 有关更多信息,请与第三方供应商联系。
问题 5:是否必须进行任何其他配置更改?
A5:无需进行额外的配置更改。
问题 6:哪些方面使用此协议?
A6:许多 Windows 组件都使用 MS-LSAD 协议,包括 Active Directory 以及 Active Directory 域和信任主机等工具。 应用程序也可以通过 advapi32 库 API 使用此协议,例如 LsaOpenPolicy 或者 LsaCreateTrustedDomainEx。