摘要
2022 年 1 月 11 日 Windows 更新及更高版本 Windows 更新為 CVE-2022-21913 新增了保護。
安裝 2022 年 1 月 11 日的 Windows 更新或更高版本的 Windows 更新後,當您使用舊版本機安全性授權 (網域原則) (MS-LSAD) 時,高級加密標準 (AES) 加密將設定為 Windows 用戶端上的首選加密方法) 協議,用於透過網路傳送的受信任網域對象密碼操作。 僅當伺服器支援 AES 加密時才適用。 如果伺服器不支援 AES 加密,系統將允許回退到舊版 RC4 加密。
CVE-2022-21913中的變更特定於 MS-LSAD 通訊協定。 它們獨立於其他通訊協定。 MS-LSAD 透過遠端程序呼叫使用伺服器訊息區 (SMB)
(RPC) 和具名管道。 雖然 SMB 也支援加密,但預設情況下不啟用加密。 預設情況下,啟用 CVE-2022-21913 中的變更,並提供 SAM 層的額外安全性。 除了在所有受支援的 Windows 版本上安裝 2022 年 1 月 11 日 Windows 更新或更高版本 Windows 更新中包含的 CVE-2022-21913 保護外,不需要進行其他設定變更。 不受支援的 Windows 版本應停用或升級至受支援的版本。
請注意, CVE-2022-21913 僅修改使用 MS-LASD 通訊協定的特定 API 時密碼在傳輸中加密的方式,請勿修改密碼的儲存方式。 有關如何在 Active Directory 中和本地 SAM 資料庫 (登錄) 中對密碼進行加密的更多資訊,請參閱密碼技術概觀。
其他相關資訊
2022 年 1 月 131日更新所做的變更
-
原則對像模式
更新透過新增新的開放原則方法來修改通訊協定的原則對像模式,該方法使用戶端和伺服器能夠共用有關 AES 支援的資訊。使用 RC4 的舊方法
使用 AES 的新方法
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
有關 MS-SAMR 通訊協定 OpNums 的完整清單,請參閱 [MS-LSAD]:訊息處理事件和排序規則。
-
受信任網域對像模式
更新透過新增一種新方法,建立使用 AES 加密身分驗證資料的信任,以此修改通訊協定的受信任網域對象建立模式。
如果用戶端和伺服器都已更新,LsaCreateTrustedDomainEx API 現在將更優先選擇新方法,否則將回退到舊方法。
使用 RC4 的舊方法
使用 AES 的新方法
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
更新修改了通訊協定的受信任網域對象集模式,將兩個新的受信任資訊類別新增到 LsarSetInformationTrustedDomain (Opnum 27)、LsarSetTrustedDomainInfoByName (Opnum 49) 方法。 您可以按如下所示設定受信任網域對象資訊。
使用 RC4 的舊方法
使用 AES 的新方法
LsarSetInformationTrustedDomain (Opnum 27) 連同TrustedDomainAuthInformationInternal 或 TrustedDomainFullInformationInternal (持有使用 RC4 的加密信任密碼)
LsarSetInformationTrustedDomain (Opnum 27) 連同 TrustedDomainAuthInformationInternalAes 或 TrustedDomainFullInformationAes (持有使用 AES 的加密信任密碼)
LsarSetTrustedDomainInfoByName (Opnum 49) 連同 TrustedDomainAuthInformationInternal 或 TrustedDomainFullInformationInternal (持有使用 RC4 和所有其他屬性的加密信任密碼)
LsarSetTrustedDomainInfoByName (Opnum 49) 連同 TrustedDomainAuthInformationInternalAes 或 TrustedDomainFullInformationInternalAes (持有使用 AES 和所有其他屬性的加密信任密碼)
新行為如何運作?
現有的 LsarOpenPolicy2 方法通常用於開啟 RPC 伺服器的情境控制碼。 這是第一個函式,必須調用以聯絡本機安全性授權 (網域原則) 遠距通訊協定資料庫。 安裝這些更新後,LsarOpenPolicy2 方法將被新的 LsarOpenPolicy3 方法取代。
調用 LsaOpenPolicy API 的已更新用戶端現在將首先調用 LsarOpenPolicy3 方法。 如果伺服器沒有更新並且沒有實施 LsarOpenPolicy3 方法,則用戶端回復到 LsarOpenPolicy2 方法,並使用以前使用 RC4 加密的方法。
更新的伺服器現在將在 LsarOpenPolicy3 方法回應中返回新位元,如 SAMPR_REVISION_INFO_V1 中定義。 如需詳細資訊,請參閱 MS-LSAD.中的「AES 密碼用法」和「LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES」部分。
如果更新的伺服器支援 AES,用戶端會使用新方法和新資訊類別進行後續的受信任網域「建立」和「設定」作業。 如果伺服器未返回此旗標或用戶端未更新,用戶端會回退到使用先前的 RC4 加密方法。
事件記錄
2022 年 1 月 11 日更新會新增一個新事件至安全時間記錄檔,協助識別未更新的裝置,並幫助提升安全性。
|
值 |
意義 |
|---|---|
|
事件來源 |
Microsoft-Windows-Security |
|
事件識別碼 |
6425 |
|
層級 |
資訊 |
|
事件訊息文字 |
網路用戶端使用舊的 RPC 方法來修改受信任網域對象的身分驗證資訊。 身分驗證資訊使用舊式加密算法進行加密。 請考慮升級用戶端作業系統或應用程式,以使用此方法的最新且更安全的版本。 受信任網域:
修改者:
用戶端網路地址: 如需詳細資訊,請前往:https://go.microsoft.com/fwlink/?linkid=2161080。 |
常見問題集 (FAQ)
問題 1:哪些案例會觸發從 AES 降級到 RC4?
A1: 當伺服器或用戶端不支援 AES 時,會發生降級。
問題 2:如何判斷 RC4 加密或 AES 加密是否經過商量?
A2:使用舊版 RC4 方法時,更新的伺服器會記錄事件 6425。
問題 3:我是否需要在伺服器上進行 AES 加密,日後 Windows 更新會以程式化方式强制使用 AES 嗎?
A3:目前沒有可用的強制模式。 但是,將來可能會有,儘管尚未安排這樣的變化。
問題 4:協力廠商用戶端是否支援 CVE-2022-21913 的保護,以在伺服器支援時進行 AES 的交涉? 我應該與 Microsoft 支援服務或協力廠商支援小組聯絡以解決這個問題嗎?
A4:如果協力廠商裝置並未使用 MS-LSAD 通訊協定,則這一點並不重要。 實施 MS-LSAD 通訊協定的協力廠商可能會選擇實施此通訊協定。 如需詳細資訊,請與協力廠商聯絡。
問題 5:是否必須進行任何其他設定變更?
A5:無需進行額外的設定變更。
問題 6:此通訊協定的用途是什麼?
A6:許多 Windows 元件都使用 MS-LSAD 通訊協定,包括 Active Directory 和 Active Directory 網域和信任控制台等工具。 應用程式也可能透過 advapi32 庫 API 使用此通訊協定,例如 LsaOpenPolicy 或者 LsaCreateTrustedDomainEx。
