تحديث
10 أبريل 2023: تم تحديث "مرحلة النشر الثالثة" من 11 أبريل 2023 إلى 13 يونيو 2023 في قسم "توقيت التحديثات لمعالجة CVE-2022-37967".
في هذه المقالة
الملخص
تتناول تحديثات Windows في 8 نوفمبر 2022 تجاوز الأمان ورفع الثغرات الأمنية للامتيازات باستخدام توقيعات شهادة سمة الامتياز (PAC). يعالج تحديث الأمان هذا ثغرات Kerberos حيث يمكن للمهاجم تغيير توقيعات PAC رقميا، ورفع امتيازاته.
للمساعدة في تأمين بيئتك، قم بتثبيت تحديث Windows هذا على جميع الأجهزة، بما في ذلك وحدات تحكم مجال Windows. يجب تحديث جميع وحدات التحكم بالمجال في مجالك أولا قبل تبديل التحديث إلى الوضع المفروض.
لمعرفة المزيد حول هذه الثغرات الأمنية، راجع CVE-2022-37967.
اتخاذ إجراء
للمساعدة في حماية بيئتك ومنع الانقطاعات، نوصي بالقيام بالخطوات التالية:
-
قم بتحديث وحدات تحكم مجال Windows باستخدام تحديث Windows تم إصداره في 8 نوفمبر 2022 أو بعده.
-
انقل وحدات تحكم مجال Windows إلى وضع التدقيق باستخدام قسم إعداد مفتاح التسجيل .
-
مراقبة الأحداث التي تم تقديمها أثناء وضع التدقيق لتأمين بيئتك.
-
تمكينوضع الإنفاذ لمعالجة CVE-2022-37967 في بيئتك.
ملاحظه لن تعالج الخطوة 1 لتثبيت التحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعده مشكلات الأمان في CVE-2022-37967 لأجهزة Windows بشكل افتراضي. للتخفيف بشكل كامل من مشكلة الأمان لجميع الأجهزة، يجب الانتقال إلى وضع التدقيق (الموضح في الخطوة 2) متبوعا بالوضع المفروض (الموضح في الخطوة 4) في أقرب وقت ممكن على جميع وحدات تحكم مجال Windows.
هام اعتبارا من يوليو 2023، سيتم تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة. في ذلك الوقت، لن تتمكن من تعطيل التحديث، ولكن قد تعود إلى إعداد وضع التدقيق. ستتم إزالة وضع التدقيق في أكتوبر 2023، كما هو موضح في قسم توقيت التحديثات لمعالجة ثغرة Kerberos الأمنية CVE-2022-37967 .
توقيت التحديثات لمعالجة CVE-2022-37967
سيتم إصدار التحديثات على مراحل: المرحلة الأولية للتحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعده ومرحلة الإنفاذ للتحديثات التي تم إصدارها في 13 يونيو 2023 أو بعد ذلك.
تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 8 نوفمبر 2022 وتستمر مع تحديثات Windows اللاحقة حتى مرحلة الإنفاذ. يضيف هذا التحديث تواقيع إلى المخزن المؤقت Kerberos PAC ولكنه لا يتحقق من وجود تواقيع أثناء المصادقة. وبالتالي، يتم تعطيل الوضع الآمن بشكل افتراضي.
هذا التحديث:
-
إضافة توقيعات PAC إلى المخزن المؤقت Kerberos PAC.
-
يضيف مقاييس لمعالجة الثغرة الأمنية في بروتوكول Kerberos.
تبدأ مرحلة التوزيع الثانية بالتحديثات التي تم إصدارها في 13 ديسمبر 2022. تقوم هذه التحديثات والتحديثات اللاحقة بإجراء تغييرات على بروتوكول Kerberos لتدقيق أجهزة Windows عن طريق نقل وحدات تحكم مجال Windows إلى وضع التدقيق.
باستخدام هذا التحديث، ستكون جميع الأجهزة في وضع التدقيق بشكل افتراضي:
-
إذا كان التوقيع مفقودا أو غير صالح، يسمح بالمصادقة. بالإضافة إلى ذلك، سيتم إنشاء سجل تدقيق.
-
إذا كان التوقيع مفقودا، فرفع حدثا واسمح بالمصادقة .
-
إذا كان التوقيع موجودا، فتحقق من صحته. إذا كان التوقيع غير صحيح، فرفع حدثا واسمح بالمصادقة.
ستقوم تحديثات Windows التي تم إصدارها في 13 يونيو 2023 أو بعد ذلك بما يلي:
-
قم بإزالة القدرة على تعطيل إضافة توقيع PAC عن طريق تعيين المفتاح الفرعي KrbtgtFullPacSignature إلى قيمة 0.
ستقوم تحديثات Windows التي تم إصدارها في 11 يوليو 2023 أو بعد ذلك بما يلي:
-
يزيل القدرة على تعيين القيمة 1 ل KrbtgtFullPacSignature subkey.
-
نقل التحديث إلى وضع الإنفاذ (افتراضي) (KrbtgtFullPacSignature = 3) الذي يمكن تجاوزه بواسطة مسؤول بإعداد تدقيق صريح.
ستقوم تحديثات Windows التي تم إصدارها في 10 أكتوبر 2023 أو بعد ذلك بما يلي:
-
إزالة دعم مفتاح التسجيل الفرعي KrbtgtFullPacSignature.
-
إزالة دعم وضع التدقيق.
-
سيتم رفض المصادقة على جميع تذاكر الخدمة بدون توقيعات PAC الجديدة.
إرشادات التوزيع
لنشر تحديثات Windows التي تم تحديثها بتاريخ 8 نوفمبر 2022 أو تحديثات Windows الأحدث، اتبع الخطوات التالية:
-
قم بتحديث وحدات تحكم مجال Windows الخاصة بك بتحديث تم إصداره في 8 نوفمبر 2022 أو بعده.
-
انقل وحدات التحكم بالمجال إلى وضع التدقيق باستخدام قسم إعداد مفتاح التسجيل.
-
مراقبة الأحداث التي تم تقديمها أثناء وضع التدقيق للمساعدة في تأمين بيئتك.
-
تمكين وضع الإنفاذ لمعالجة CVE-2022-37967 في بيئتك.
الخطوة 1: تحديث
انشر تحديثات 8 نوفمبر 2022 أو التحديثات الأحدث لجميع وحدات تحكم مجال Windows القابلة للتطبيق (DCs). بعد نشر التحديث، سيكون لدى وحدات تحكم مجال Windows التي تم تحديثها توقيعات تمت إضافتها إلى المخزن المؤقت Kerberos PAC وستكون غير آمنة بشكل افتراضي (لم يتم التحقق من صحة توقيع PAC).
-
أثناء التحديث، تأكد من الاحتفاظ بقيمة سجل KrbtgtFullPacSignature في الحالة الافتراضية حتى يتم تحديث جميع وحدات تحكم مجال Windows.
الخطوة 2: نقل
بمجرد تحديث وحدات تحكم مجال Windows، قم بالتبديل إلى وضع التدقيق عن طريق تغيير قيمة KrbtgtFullPacSignature إلى 2.
الخطوة 3: البحث/المراقبة
تحديد المناطق التي تفتقد إلى توقيعات PAC أو التي تحتوي على توقيعات PAC التي تفشل في التحقق من الصحة من خلال سجلات الأحداث التي تم تشغيلها أثناء وضع التدقيق.
-
تأكد من تعيين المستوى الوظيفي للمجال إلى 2008 على الأقل أو أكثر قبل الانتقال إلى وضع الإنفاذ. قد يؤدي الانتقال إلى وضع الإنفاذ مع المجالات في المستوى الوظيفي للمجال 2003 إلى فشل المصادقة.
-
ستظهر أحداث التدقيق إذا لم يتم تحديث مجالك بالكامل، أو إذا كانت تذاكر الخدمة الصادرة مسبقا لا تزال موجودة في مجالك.
-
استمر في مراقبة سجلات الأحداث الإضافية التي تم حفظها والتي تشير إما إلى توقيعات PAC المفقودة أو فشل التحقق من صحة توقيعات PAC الموجودة.
-
بعد تحديث المجال بأكمله وانتهاء صلاحية جميع التذاكر المعلقة، يجب ألا تظهر أحداث التدقيق بعد الآن. بعد ذلك، يجب أن تكون قادرا على الانتقال إلى وضع الإنفاذ دون أي فشل.
الخطوة 4: تمكين
تمكين وضع الإنفاذ لمعالجة CVE-2022-37967 في بيئتك.
-
بمجرد حل جميع أحداث التدقيق ولم تعد تظهر، انقل المجالات إلى وضع الإنفاذ عن طريق تحديث قيمة سجل KrbtgtFullPacSignature كما هو موضح في قسم إعدادات مفتاح التسجيل.
-
إذا كانت تذكرة الخدمة تحتوي على توقيع PAC غير صالح أو تفتقد إلى توقيعات PAC، فسيفشل التحقق من الصحة وسيتم تسجيل حدث خطأ.
إعدادات مفتاح التسجيل
بروتوكول Kerberos
بعد تثبيت تحديثات Windows التي تم تحديثها في 8 نوفمبر 2022 أو بعد ذلك، يتوفر مفتاح التسجيل التالي لبروتوكول Kerberos:
-
KrbtgtFullPacSignature
يتم استخدام مفتاح التسجيل هذا لبوابة توزيع تغييرات Kerberos. مفتاح التسجيل هذا مؤقت، ولن تتم قراءته بعد تاريخ التنفيذ الكامل في 10 أكتوبر 2023.مفتاح التسجيل
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
القيمة
KrbtgtFullPacSignature
نوع البيانات
Reg_dword
بيانات
0 – معطل
1 - تتم إضافة تواقيع جديدة، ولكن لم يتم التحقق منها. (الإعداد الافتراضي)
2 - وضع التدقيق. تتم إضافة تواقيع جديدة والتحقق منها إذا كانت موجودة. إذا كان التوقيع مفقودا أو غير صالح، يسمح بالمصادقة ويتم إنشاء سجلات التدقيق.
3 - وضع الإنفاذ. تتم إضافة تواقيع جديدة والتحقق منها إذا كانت موجودة. إذا كان التوقيع مفقودا أو غير صالح، يتم رفض المصادقة وإنشاء سجلات التدقيق.
هل إعادة التشغيل مطلوبة؟
لا
ملاحظة إذا كنت بحاجة إلى تغيير قيمة سجل KrbtgtFullPacSignature، فقم بإضافة مفتاح التسجيل ثم تكوينه يدويا لتجاوز القيمة الافتراضية.
أحداث Windows المتعلقة ب CVE-2022-37967
في وضع التدقيق، قد تجد أي من الأخطاء التالية إذا كانت تواقيع PAC مفقودة أو غير صالحة. إذا استمرت هذه المشكلة أثناء وضع الإنفاذ، فسيتم تسجيل هذه الأحداث كأخطاء.
إذا وجدت أي خطأ على جهازك، فمن المحتمل ألا تكون جميع وحدات تحكم مجال Windows في مجالك محدثة مع تحديث Windows في 8 نوفمبر 2022 أو أحدث. للتخفيف من المشكلات، ستحتاج إلى التحقق من مجالك بشكل أكبر للعثور على وحدات تحكم مجال Windows غير محدثة.
ملاحظة إذا وجدت خطأ في معرف الحدث 42، فيرجى مراجعة KB5021131: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37966.
سجل الأحداث |
النظام |
نوع الحدث |
تحذير |
مصدر الحدث |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
معرف الحدث |
43 |
نص الحدث |
واجه مركز توزيع المفاتيح (KDC) تذكرة أنه لم يتمكن من التحقق من صحة توقيع PAC الكامل. راجع https://go.microsoft.com/fwlink/?linkid=2210019 لمعرفة المزيد. العميل: نطاق <>/<name> |
سجل الأحداث |
النظام |
نوع الحدث |
تحذير |
مصدر الحدث |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
معرف الحدث |
44 |
نص الحدث |
واجه مركز توزيع المفاتيح (KDC) تذكرة لا تحتوي على توقيع PAC الكامل. راجع https://go.microsoft.com/fwlink/?linkid=2210019 لمعرفة المزيد. العميل: نطاق <>/<name> |
أجهزة الجهات الخارجية التي تنفذ بروتوكول Kerberos
قد ترى المجالات التي تحتوي على وحدات تحكم مجال تابعة لجهة خارجية أخطاء في وضع الإنفاذ.
قد تستغرق المجالات التي لها عملاء تابعون لجهة خارجية وقتا أطول حتى يتم مسحها بالكامل من أحداث التدقيق بعد تثبيت تحديث Windows في 8 نوفمبر 2022 أو إصدار أحدث.
اتصل بالشركة المصنعة للجهاز (OEM) أو مورد البرامج لتحديد ما إذا كانت برامجهم متوافقة مع أحدث تغيير في البروتوكول.
للحصول على معلومات حول تحديثات البروتوكول، راجع موضوع بروتوكول Windows على موقع Microsoft على الويب.
مسرد
Kerberos هو بروتوكول مصادقة شبكة كمبيوتر يعمل على أساس "التذاكر" للسماح للعقد التي تتصل عبر الشبكة لإثبات هويتها لبعضها البعض بطريقة آمنة.
خدمة Kerberos التي تنفذ خدمات المصادقة ومنح التذاكر المحددة في بروتوكول Kerberos. تعمل الخدمة على أجهزة الكمبيوتر التي حددها مسؤول النطاق أو المجال؛ وهو غير موجود على كل جهاز على الشبكة. يجب أن يكون لديها حق الوصول إلى قاعدة بيانات حساب النطاق الذي تخدمه. يتم دمج KDCs في دور وحدة التحكم بالمجال. وهي خدمة شبكة توفر تذاكر للعملاء لاستخدامها في المصادقة على الخدمات.
شهادة سمة الامتياز (PAC) هي بنية تنقل المعلومات المتعلقة بالتخويل التي توفرها وحدات التحكم بالمجال (DCs). لمزيد من المعلومات، راجع بنية بيانات شهادة سمة الامتياز.
نوع خاص من التذاكر التي يمكن استخدامها للحصول على تذاكر أخرى. يتم الحصول على تذكرة منح التذاكر (TGT) بعد المصادقة الأولية في تبادل خدمة المصادقة (AS)؛ بعد ذلك، لا يحتاج المستخدمون إلى تقديم بيانات الاعتماد الخاصة بهم، ولكن يمكنهم استخدام TGT للحصول على تذاكر لاحقة.