摘要
2024 年 4 月 9 日或之後發行的 Windows 安全性更新,解決 Kerberos PAC 驗證通訊協定提高許可權弱點的問題。 Privilege Attribute Certificate (PAC) 是 Kerberos 服務票證的擴充功能。 其中包含驗證使用者及其許可權的相關信息。 此更新修正了程式使用者可能會偽造簽章以略過KB5020805中新增之 PAC 簽章驗證安全性檢查 的弱點:如何管理與 CVE-2022-37967 相關的 Kerberos 通訊協定變更。
若要深入了解這些弱點,請流覽 CVE-2024-26248 和 CVE-2024-29056。
採取行動
重要 安裝 2024 年 4 月 9 日或之後發行的更新步驟 1 將無法完全解決 CVE-2024-26248 和 CVE-2024-29056 中的安全性問題。 若要完全降低所有裝置的安全性問題,您必須在環境完全更新後移至強制模式 (步驟 3) 中所述。
為了協助保護您的環境並避免中斷,建議您執行下列步驟:
-
更新: Windows 域控制器和 Windows 用戶端必須在 2024 年 4 月 9 日或之後發行 Windows 安全性更新。
-
監控: 稽核事件會在 相容模式 中顯示,以識別未更新的裝置。
-
使: 在您的環境中完全啟用強制 執行模式之後, 將會減輕 CVE-2024-26248 和 CVE-2024-29056 中所述的弱點。
背景
當 Windows 工作站在輸入 Kerberos 驗證流程上執行 PAC 驗證時,它會執行新的要求 (網路票證登入) 以驗證服務票證。 此要求一開始會透過 Netlogon 轉寄至工作站網域的 DC) (域控制器。
如果服務帳戶和計算機帳戶屬於不同的網域,要求會透過 Netlogon 套用到必要的信任,直到到達服務網域為止;否則,計算機帳戶網域中的DC會執行驗證。 DC 接著會呼叫密鑰發佈中心 (KDC) 驗證服務票證的 PAC 簽章,並將使用者和裝置資訊傳回工作站。
如果要求和回復是透過信任 (轉寄,如果服務帳戶和工作站帳戶屬於不同的網域) ,則信任的每個 DC 都會篩選與該帳戶相關的授權數據。
變更的時程表
匯報 發行方式如下。 請注意,可能會視需要修改此發行排程。
初始部署階段從 2024 年 4 月 9 日發行的更新開始。 此更新新增了防止 提高 CVE-2024-26248 和 CVE-2024-29056 中所述之許可權弱點的新行為,但不會強制執行,除非環境中的 Windows 域控制器和 Windows 用戶端都已更新。
若要啟用新行為並降低弱點,您必須確保您的整個 Windows 環境 (同時更新域控制器和用戶端) 。 系統會記錄稽核事件,以協助識別未更新的裝置。
匯報 於 2024 年 10 月 15 日或之後發行,會將環境中的所有 Windows 域控制器和用戶端變更為 PacSignatureValidationLevel=3 和 CrossDomainFilteringLevel=4 以強制執行安全行為,藉此強制執行安全行為。
系統管理員可以覆寫 [預設 強制執行] 設定,以還原為 相容模式 。
2025 年 4 月 8 日或之後發行的 Windows 安全性更新將會移除登錄子機碼 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 的支援,並強制執行新的安全行為。 安裝此更新之後,將不支援 相容模式 。
潛在問題與緩和功能
可能會出現一些潛在問題,包括 PAC 驗證和跨林篩選失敗。 2024 年 4 月 9 日的安全性更新包含了後援邏輯和登錄設定,以協助減輕這些問題
登錄設定
此安全性更新是提供給 Windows 裝置 (包括域控制器) 。 下列控制行為的登錄機碼只需要部署到接受輸入 Kerberos 驗證及執行 PAC 驗證的 Kerberos 伺服器。
登錄子機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
值 |
PacSignatureValidationLevel |
|
資料類型 |
REG_DWORD |
|
資料 |
2 |
與未配對環境的預設 (相容性) |
3 |
執行 |
|
需要重新啟動嗎? |
否 |
登錄子機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
值 |
CrossDomainFilteringLevel |
|
資料類型 |
REG_DWORD |
|
資料 |
2 |
與未配對環境的預設 (相容性) |
4 |
執行 |
|
需要重新啟動嗎? |
否 |
這個登錄機碼可以部署到接受輸入 Kerberos 驗證的 Windows 伺服器,以及同時驗證新網路票證登入流程的任何 Windows 域控制器。
登錄子機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
值 |
AuditKerberosTicketLogonEvents |
|
資料類型 |
REG_DWORD |
|
資料 |
1 |
預設 – 記錄重大事件 |
2 |
記錄所有 Netlogon 事件 |
|
0 |
不要記錄 Netlogon 事件 |
|
需要重新啟動嗎? |
否 |
事件記錄檔
下列 Kerberos 稽核事件將產生於接受輸入 Kerberos 驗證的 Kerberos Server。 此 Kerberos 伺服器將會執行 PAC 驗證,此驗證會使用新的網路票證登入流程。
事件記錄檔 |
系統 |
事件類型 |
資訊 |
事件來源 |
Security-Kerberos |
事件識別碼 |
21 |
事件文字 |
在 Kerberos 網路票證登入期間,來自 Domain <Domain> 的帳戶 <帳戶> 服務票證由 DC <Domain Controller> 執行下列動作。 如需詳細資訊,請流覽 https://go.microsoft.com/fwlink/?linkid=2262558。 |
當域控制器在網路票證登入流程期間採取非重大動作時,就會顯示此事件。 目前已記錄下列動作:
-
已篩選使用者 SID。
-
已篩選裝置 SIM 卡。
-
由於 SID 篩選不允許裝置的身分識別,已移除複合身分識別。
-
由於 SID 篩選不允許裝置的功能變數名稱,導致複合身分識別被移除。
事件記錄檔 |
系統 |
事件類型 |
錯誤 |
事件來源 |
Security-Kerberos |
事件識別碼 |
22 |
事件文字 |
在 Kerberos 網路票證登入期間,DC <DC> 會拒絕網域 <網域> 的帳戶 <帳戶> 服務票證。 如需詳細資訊,請流覽 https://go.microsoft.com/fwlink/?linkid=2262558。 |
當域控制器基於事件中顯示的原因拒絕網路票證登入要求時,就會顯示此事件。
事件記錄檔 |
系統 |
事件類型 |
警告或錯誤 |
事件來源 |
Security-Kerberos |
事件識別碼 |
23 |
事件文字 |
在 Kerberos 網路票證登入期間,網域 <domain_name> 帳戶 <account_name> 的服務票證無法轉寄至域控制器以送修要求。 如需詳細資訊,請流覽 https://go.microsoft.com/fwlink/?linkid=2262558。 |
-
如果 PacSignatureValidationLevel AND CrossDomainFilteringLevel 未設為 強制或更嚴格,此事件會顯示為警告。 當記錄為警告時,事件表示網路票證登入流量已連絡不瞭解新機制的域控制器或同等裝置。 已允許驗證回復到先前的行為。
-
如果 PacSignatureValidationLevel OR CrossDomainFilteringLevel 設為 強制 或更嚴格,此事件會顯示為錯誤。 此事件為「錯誤」,表示網路票證登入流程已連絡不瞭解新機制的域控制器或對等裝置。 已拒絕驗證,無法回復到先前的行為。
事件記錄檔 |
系統 |
事件類型 |
錯誤 |
事件來源 |
Netlogon |
事件識別碼 |
5842 |
事件文字 |
Netlogon 服務在處理 Kerberos 網路票證登入要求時發生非預期的錯誤。 如需詳細資訊,請流覽 https://go.microsoft.com/fwlink/?linkid=2261497。 服務票證帳戶:<帳戶> 服務票證網域:<網域> 工作站名稱:<計算機名稱> 狀態:<錯誤碼> |
每當 Netlogon 在網路票證登入要求期間發生非預期的錯誤時,就會產生此事件。 當 AuditKerberosTicketLogonEvents 設為 (1) 或更高版本時,就會記錄此事件。
事件記錄檔 |
系統 |
事件類型 |
警告 |
事件來源 |
Netlogon |
事件識別碼 |
5843 |
事件文字 |
Netlogon 服務無法將 Kerberos 網路票證登入要求轉寄至域控制器 <DC>。 如需詳細資訊,請流覽 https://go.microsoft.com/fwlink/?linkid=2261497。 服務票證帳戶:<帳戶> 服務票證網域:<網域> 工作站名稱:<計算機名稱> |
每當 Netlogon 因域控制器不瞭解變更而無法完成網路票證登入時,就會產生此事件。 由於 Netlogon 通訊協定中的限制,Netlogon 用戶端無法判斷 Netlogon 用戶端直接交談的域控制器是否為不瞭解變更的內容,或是轉寄鏈中不瞭解變更的域控制器。
-
如果服務票證網域與計算機帳戶的網域相同,事件記錄檔中的域控制器可能不了解網路票證登入流程。
-
如果服務票證網域與計算機帳戶的網域不同,從機器帳戶的網域到服務帳戶網域之間,其中一個域控制器不瞭解網路票證登入流程
此事件預設為關閉。 Microsoft 建議使用者先更新整個組建,然後再開啟活動。
當 AuditKerberosTicketLogonEvents 設為 (2) 時,就會記錄此事件。
常見問題集 (FAQ)
未更新的域控制器將無法辨識這個新的要求結構。 這會導致安全性檢查失敗。 在相容模式中,將會使用舊的要求結構。 此案例仍然容易受到 CVE-2024-26248 和 CVE-2024-29056 影響。
是的。 這是因為新的網路票證登入流程可能需要跨網路網域路由,才能到達服務帳戶的網域。
在某些情況下,可能略過 PAC 驗證,包括但不限於下列案例:
-
如果服務有 TCB 許可權。 一般而言,在 SYSTEM 帳戶 (下執行的服務,例如 SMB 檔案共用或 LDAP 伺服器) 有此許可權。
-
如果服務是從工作排程器執行。
否則,PAC 驗證會在所有輸入 Kerberos 驗證流量上執行。
這些 CVEs 涉及本機提高許可權,其中在 Windows 工作站上執行的惡意或遭盜用的服務帳戶嘗試提升其許可權以取得本機系統管理許可權。 這表示只有接受輸入 Kerberos 驗證的 Windows 工作站才會受到影響。