摘要
2022 年 1 月 11 日的 Windows 更新及後續更新新增了 CVE-2022-21913 的防護措施。
安裝 2022 年 1 月 11 日的 Windows 更新或更新後,當你使用舊有的 Local Security Authority (Domain Policy) (MS-LSAD) 協定來處理網路傳送的受信任網域物件密碼操作時,Windows 用戶端將設定為 AES Standard () 加密的首選加密方式。 僅當伺服器支援 AES 加密時才適用。 如果伺服器不支援 AES 加密,系統將允許回退到舊版 RC4 加密。
CVE-2022-21913 的變更僅限於 MS-LSAD 協定。 它們獨立於其他通訊協定。 MS-LSAD 透過遠端程序呼叫使用 SMB) 伺服器訊息區塊 (
(RPC) 與命名管線。 雖然 SMB 也支援加密,但預設情況下不啟用加密。 預設情況下, CVE-2022-21913 中的變更已啟用,並在 LSAD 層級提供額外的安全性。 除了安裝包含於 2022 年 1 月 11 日 Windows 更新及後續 Windows 更新中所包含的 CVE-2022-21913 防護外,無需額外設定變更。 不受支援的 Windows 版本應停用或升級至受支援的版本。
注意,CVE-2022-21913 僅修改使用 MS-LSAD 協定特定 API 時,信任密碼在傳輸中加密的方式, 且不 特別修改密碼在靜態時的儲存方式。 欲了解更多關於密碼在 Active Directory 靜態加密及 SAM 資料庫 (登錄) 本地加密的資訊,請參閱 密碼技術概述。
其他資訊
2022年1月11日更新所帶來的變更
政策物件模式
更新修改了協定的政策物件模式,新增了開放政策方法,使客戶端與伺服器能共享有關 AES 支援的資訊。
使用 RC4 的舊方法 使用 AES 的新方法 LsarOpenPolicy2 (Opnum 44) LsarOpenPolicy3 (Opnum 130) 有關 MS-SAMR 通訊協定 OpNums 的完整清單,請參閱 [MS-LSAD]:訊息處理事件和排序規則。
受信任網域對像模式
更新透過新增一種新方法,建立使用 AES 加密身分驗證資料的信任,以此修改通訊協定的受信任網域對象建立模式。
如果用戶端和伺服器都已更新,LsaCreateTrustedDomainEx API 現在將更優先選擇新方法,否則將回退到舊方法。使用 RC4 的舊方法 使用 AES 的新方法 LsarCreateTrustedDomainEx2 (Opnum 59) LsarCreateTrustedDomainEx3 (Opnum 129) 更新修改了通訊協定的受信任網域對象集模式,將兩個新的受信任資訊類別新增到 LsarSetInformationTrustedDomain (Opnum 27)、LsarSetTrustedDomainInfoByName (Opnum 49) 方法。 您可以按如下所示設定受信任網域對象資訊。
使用 RC4 的舊方法 使用 AES 的新方法 LsarSetInformationTrustedDomain (Opnum 27) 連同TrustedDomainAuthInformationInternal 或 TrustedDomainFullInformationInternal (持有使用 RC4 的加密信任密碼) LsarSetInformationTrustedDomain (Opnum 27) 連同 TrustedDomainAuthInformationInternalAes 或 TrustedDomainFullInformationAes (持有使用 AES 的加密信任密碼) LsarSetTrustedDomainInfoByName (Opnum 49) 連同 TrustedDomainAuthInformationInternal 或 TrustedDomainFullInformationInternal (持有使用 RC4 和所有其他屬性的加密信任密碼) LsarSetTrustedDomainInfoByName (Opnum 49) 與 TrustedDomainAuthInformationInternalAes 或 TrustedDomainFullInformationInternalAes (一起持有加密的信任密碼,使用 AES 及所有其他屬性)
新行為如何運作?
現有的 LsarOpenPolicy2 方法通常用於開啟 RPC 伺服器的情境控制碼。 這是第一個函式,必須調用以聯絡本機安全性授權 (網域原則) 遠距通訊協定資料庫。 安裝這些更新後,LsarOpenPolicy2 方法將被新的 LsarOpenPolicy3 方法取代。
調用 LsaOpenPolicy API 的已更新用戶端現在將首先調用 LsarOpenPolicy3 方法。 如果伺服器沒有更新並且沒有實施 LsarOpenPolicy3 方法,則用戶端回復到 LsarOpenPolicy2 方法,並使用以前使用 RC4 加密的方法。
更新後的伺服器會在 LsarOpenPolicy3 方法回應中回傳一個新位元,如 LSAPR_REVISION_INFO_V1 所定義。 如需詳細資訊,請參閱 MS-LSAD.中的「AES 密碼用法」和「LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES」部分。
如果更新的伺服器支援 AES,用戶端會使用新方法和新資訊類別進行後續的受信任網域「建立」和「設定」作業。 如果伺服器未返回此旗標或用戶端未更新,用戶端會回退到使用先前的 RC4 加密方法。
事件記錄
2022 年 1 月 11 日更新會新增一個新事件至安全時間記錄檔,協助識別未更新的裝置,並幫助提升安全性。
| 值 | 意義 |
|---|---|
| 事件來源 | Microsoft-Windows-Security |
| 事件識別碼 | 6425 |
| 等級 | 資訊 |
| 事件訊息文字 | 網路用戶端使用舊的 RPC 方法來修改受信任網域對象的身分驗證資訊。 身分驗證資訊使用舊式加密算法進行加密。 請考慮升級用戶端作業系統或應用程式,以使用此方法的最新且更安全的版本。 受信任網域:
RPC 方法名稱: 欲了解更多資訊,請造訪 https://go.microsoft.com/fwlink/?linkid=2161080。 |
常見問題集 (FAQ)
問題 1:哪些案例會觸發從 AES 降級到 RC4?
答1: 若伺服器或用戶端不支援 AES,則會進行降級。
問題 2:如何判斷 RC4 加密或 AES 加密是否經過商量?
答2: 更新後的伺服器會在使用使用 RC4 的舊方法時記錄事件 6425。
問題 3:我可以要求伺服器使用 AES 加密嗎?未來的 Windows 更新會強制使用 AES 嗎?
答3: 目前尚無可用的強制執行模式。 不過未來可能會有,雖然目前沒有安排這樣的變更。
問題 4:協力廠商用戶端是否支援 CVE-2022-21913 的保護,以在伺服器支援時進行 AES 的交涉? 我應該聯絡 Microsoft 支援服務或第三方客服團隊來解答這個問題嗎?
答4: 如果第三方裝置或應用程式未使用 MS-LSAD 協定,則這點不重要。 實施 MS-LSAD 通訊協定的協力廠商可能會選擇實施此通訊協定。 如需詳細資訊,請與協力廠商聯絡。
Q5:還需要做任何額外的設定變更嗎?
答5: 不需要額外的設定變更。
問題 6:此通訊協定的用途是什麼?
A6: MS-LSAD 協定被許多 Windows 元件使用,包括 Active Directory 以及 Active Directory Domains and Trusts 主控台等工具。 應用程式也可能透過 advapi32 庫 API 使用此通訊協定,例如 LsaOpenPolicy 或者 LsaCreateTrustedDomainEx。