Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

更新日期

2023 年 4 月 10 日:在“解决 CVE-2022-37967 的更新时间时间”部分将“第三个部署阶段”从 2023 年 4 月 11 日更新到 2023 年 6 月 13 日。

本任务的内容

摘要

2022 年 11 月 8 日 Windows 更新使用特权属性证书 (PAC) 签名来解决安全旁路和特权提升漏洞。 此安全更新解决了攻击者可能以数字方式更改 PAC 签名并提升其特权的 Kerberos 漏洞。

若要帮助保护环境,请将此 Windows 更新安装到所有设备,包括 Windows 域控制器。 在将更新切换到“强制”模式之前,必须先更新域中的所有域控制器。

若要了解有关此漏洞的详细信息,请参阅 CVE-2022-37967

采取操作

为了帮助保护环境并防止中断,我们建议你执行以下步骤:

  1. 使用 2022 年 11 月 8 日或之后发布的 Windows 更新更新 Windows 域控制器。

  2. 使用注册表项设置部分将 Windows 域控制器移动到审核模式。

  3. 监视在审核模式下存档的事件,以保护环境。

  4. 启用用于解决环境中的 CVE-2022-37967 的强制模式。

备注 安装 2022 年 11 月 8 日或之后发布的更新的步骤 1 默认情况下不会解决 Windows 设备的 CVE-2022-37967 中的安全问题。 若要完全缓解所有设备的安全问题,必须尽快在所有 Windows 域控制器上转到审核模式 (如步骤 2 所述),然后转到强制模式 (如步骤 4 所述)。

重要说明 从 2023 年 7 月开始,将在所有 Windows 域控制器上启用强制模式,并将阻止来自不合规设备的易受攻击的连接。  此时,你将无法禁用更新,但可以后移到审核模式设置。 审核模式将于 2023 年 10 月删除,如解决 Kerberos 漏洞 CVE-2022-37967 的更新时间部分所述。

解决 CVE-2022-37967 的更新时间

更新将分阶段发布:2022 年 11 月 8 日或之后发布的更新的初始阶段和 2023 年 6 月 13 日或之后发布的更新的强制执行阶段。

2022 年 11 月 8 日发布 Windows 更新后开始初始部署阶段,发布后续 Windows 更新后开始强制执行阶段。 此更新将签名添加到 Kerberos PAC 缓冲区,但不在身份验证期间检查签名。 因此,安全模式默认处于禁用状态。

此更新:

  • 将 PAC 签名添加到 Kerberos PAC 缓冲区。

  • 添加用于解决 Kerberos 协议中绕过安全漏洞的措施。

第二个部署阶段从 2022 年 12 月 13 日发布的更新开始。 这些更新和更高版本的更新通过将 Windows 域控制器移动到审核模式,对 Kerberos 协议进行更改,以审核 Windows 设备

通过此更新,默认情况下,所有设备都将处于“审核”模式:

  • 如果签名缺失或无效,则允许进行身份验证。 此外,还会创建审核日志。 

  • 如果缺少签名,请引发事件并允许身份验证。

  • 如果签名存在,请验证它。 如果签名不正确,请引发事件并允许身份验证。

2023 年 6 月 13 日或之后发布的 Windows 更新将执行以下操作: 

  • 通过将 KrbtgtFullPacSignature 子项设置为值 0,删除禁用 PAC 签名添加的功能。

2023 年 7 月 11 日或之后发布的 Windows 更新将执行以下操作: 

  • 删除为 KrbtgtFullPacSignature 子项设置值 1 的功能。

  • 将更新移动到强制模式 (默认) (KrbtgtFullPacSignature = 3) ,管理员可以使用显式审核设置重写该模式。

2023 年 10 月 10 日或之后发布的 Windows 更新将执行以下操作: 

  • 删除对注册表子项 KrbtgtFullPacSignature 的支持。

  • 删除对审核模式的支持。

  • 没有新 PAC 签名的所有服务票证都将拒绝进行身份验证。

部署指南

若要部署日期为 2022 年 11 月 8 日或更高版本的 Windows 更新,请执行以下步骤:

  1. 使用 2022 年 11 月 8 日或之后发布的更新更新 Windows 域控制器。

  2. 使用注册表项设置部分将域控制器移动到审核模式。

  3. 监视在审核模式下存档的事件,以帮助保护环境。

  4. 启用 用于解决环境中的 CVE-2022-37967 的强制模式。

步骤 1:更新 

将 2022 年 11 月 8 日或更高版本的更新部署到所有适用的 Windows 域控制器 (DC)。 部署更新后,已更新的 Windows 域控制器会将签名添加到 Kerberos PAC 缓冲区,并且在默认情况下不安全 (PAC 签名未验证)。

  • 更新时,请确保将 KrbtgtFullPacSignature 注册表值保持为默认状态,直到更新所有 Windows 域控制器。

步骤 2:移动 

更新 Windows 域控制器后,通过将 KrbtgtFullPacSignature 值更改为 2,切换到审核模式。  

步骤 3:查找/监视 

确定缺少 PAC 签名或 PAC 签名未能通过审核模式下触发的事件日志验证的区域。   

  • 在移动到强制模式之前,请确保域功能级别至少设置为 2008 或更高。 使用 2003 域功能级别的域移动到强制模式可能会导致身份验证失败。

  • 如果域未完全更新,或者域中仍然存在以前颁发的未完成的服务票证,则会出现审核事件。

  • 继续监视存档的其他事件日志,这些日志指示缺少 PAC 签名或现有 PAC 签名验证失败。

  • 更新整个域并且所有未完成的票证都过期后,审核事件应不再显示。 然后,你应该能够移动到强制模式,而不会出现故障。

步骤 4:启用 

启用强制模式以解决环境中的 CVE-2022-37967

  • 解决所有审核事件且不再显示后,通过更新 KrbtgtFullPacSignature 注册表值,将域移动到强制模式,如注册表项设置部分所述。

  • 如果服务票证的 PAC 签名无效或缺少 PAC 签名,验证将失败,并且会记录错误事件。

注册表项设置

Kerberos 协议

安装 2022 年 11 月 8 日或之后的 Windows 更新后, Kerberos 协议将提供以下注册表项:

  • KrbtgtFullPacSignature 此注册表项用于阻止 Kerberos 更改的部署。 此注册表项是临时的,在 2023 年 10 月 10 日的完整强制实施日期之后将不再读取。 

    注册表项

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    KrbtgtFullPacSignature

    数据类型

    REG_DWORD

    数据

    0 - 已禁用  

    1 - 已添加新签名,但未验证。 (默认设置)

    2 - 审核模式。 已添加新签名,并验证是否存在。 如果签名缺失或无效,则允许进行身份验证并创建审核日志。

    3 - 强制模式。 已添加新签名,并验证是否存在。 如果签名缺失或无效,则拒绝进行身份验证并创建审核日志。

    是否需要重启?

    备注 如果需要更改 KrbtgtFullPacSignature 注册表值,请手动添加注册表项,然后配置注册表项以替代默认值。

与 CVE-2022-37967 相关的 Windows 事件

在审核模式下,如果 PAC 签名缺失或无效,则可能会发现以下错误之一。 如果在强制模式下此问题仍然存在,则这些事件将记录为错误。

如果在设备上发现任一错误,则可能是域中的所有 Windows 域控制器都没有更新到 2022 年 11 月 8 日或更高版本的 Windows 更新。 若要缓解这些问题,需要进一步调查域,以查找不是最新的 Windows 域控制器。  

备注 如果发现事件 ID 42 错误,请参阅 KB5021131: 如何管理与 CVE-2022-37966 相关的 Kerberos 协议更改

事件日志

系统警报

事件类型

警告

事件源

Microsoft-Windows-Kerberos-Key-Distribution-Center

事件 ID:

43

事件文本

密钥发行中心 (KDC) 遇到无法验证  完整 PAC 签名的票证。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2210019。 客户端: <realm>/<Name>

事件日志

系统

事件类型

警告

事件源

Microsoft-Windows-Kerberos-Key-Distribution-Center

事件 ID

44

事件文本

密钥发行中心 (KDC) 遇到不包含完整 PAC 签名的票证。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2210019。 客户端: <realm>/<Name>

实现 Kerberos 协议的第三方设备

具有第三方域控制器的域可能会在强制模式下看到错误。

安装 2022 年 11 月 8 日或更高版本的 Windows 更新后,使用第三方客户端的域可能需要更长时间才能完全清除审核事件。

请联系设备制造商 (OEM) 或软件供应商,以确定其软件是否与最新的协议更改兼容。

有关协议更新的信息,请参阅 Microsoft 网站上的 Windows 协议 主题。

术语表

Kerberos 是一种基于“票证”的计算机网络身份验证协议,允许节点通过网络进行通信,以安全的方式相互证明其身份。

实现 Kerberos 协议中指定的身份验证和票证授予服务的 Kerberos 服务。 该服务在领域或域的管理员选择的计算机上运行;它并不存在于网络上的每台计算机上。 它必须有权访问其所服务领域的帐户数据库。 KDC 已集成到域控制器角色中。 它是一种网络服务,向客户端提供票证以用于对服务进行身份验证。

特权属性证书 (PAC) 是一种结构,传达域控制器 (DC) 提供的授权相关信息。 有关详细信息,请参阅 特权属性证书数据结构

可用于获取其他票证的特殊类型的票证。 在身份验证服务 (AS) 交换中初始身份验证后,获取票证授予票证 (TGT);此后,用户无需提供其凭据,但可以使用 TGT 获取后续票证。

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现 社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验