Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Aktualizovány

10. dubna 2023: Aktualizace třetí fáze nasazení z 11. dubna 2023 na 13. června 2023 v části Časování aktualizací pro řešení CVE-2022-37967.

V tomto článku

Shrnutí

Aktualizace Windows z 8. listopadu 2022 řeší chyby zabezpečení obejití zabezpečení a zvýšení oprávnění pomocí podpisů PAC (Privilege Attribute Certificate). Tato aktualizace zabezpečení řeší chyby zabezpečení protokolu Kerberos, kdy by útočník mohl digitálně změnit podpisy PAC a zvýšit jejich oprávnění.

Pokud chcete lépe zabezpečit své prostředí, nainstalujte tuto aktualizaci Windows na všechna zařízení včetně řadičů domény s Windows. Před přepnutím aktualizace do režimu vynucení je nutné nejprve aktualizovat všechny řadiče domény ve vaší doméně.

Další informace o těchto chybách zabezpečení najdete v tématu CVE-2022-37967.

Provedení akce

Pokud chcete chránit své prostředí a zabránit výpadkům, doporučujeme provést následující kroky:

  1. AKTUALIZUJTE řadiče domény s Windows pomocí aktualizace Windows vydané 8. listopadu 2022 nebo později.

  2. Přesuňte řadiče domény s Windows do režimu auditování pomocí části Nastavení klíče registru .

  3. MONITOROVÁNÍ událostí zasílaných během režimu auditování za účelem zabezpečení vašeho prostředí

  4. POVOLITRežim vynucení pro řešení CVE-2022-37967 ve vašem prostředí

Poznámka Krok 1 instalace aktualizací vydaných 8. listopadu 2022 nebo později nebude ve výchozím nastavení řešit problémy se zabezpečením v CVE-2022-37967 pro zařízení s Windows. Pokud chcete plně zmírnit problém se zabezpečením všech zařízení, musíte co nejdříve na všech řadičích domény s Windows přejít do režimu auditu (popsaného v kroku 2) a následně do režimu vynucení (popsaného v kroku 4).

Důležité Od července 2023 bude režim vynucení povolený na všech řadičích domény s Windows a bude blokovat zranitelná připojení ze zařízení, která nedodržují předpisy.  V takovém okamžiku nebudete moct aktualizaci zakázat, ale můžete přejít zpět na nastavení Režimu auditování. Režim auditování bude odebrán v říjnu 2023, jak je uvedeno v části Časování aktualizací pro řešení chyby zabezpečení protokolu Kerberos CVE-2022-37967 .

Načasování aktualizací pro řešení CVE-2022-37967

Aktualizace budou vydávány ve fázích: počáteční fáze pro aktualizace vydané 8. listopadu 2022 nebo později a fáze vynucení aktualizací vydaných 13. června 2023 nebo později.

Počáteční fáze nasazení začíná aktualizacemi vydanými 8. listopadu 2022 a pokračuje s pozdějšími aktualizacemi Systému Windows až do fáze vynucení. Tato aktualizace přidává podpisy do vyrovnávací paměti Pac protokolu Kerberos, ale během ověřování nekontroluje podpisy. Proto je zabezpečený režim ve výchozím nastavení zakázaný.

Tato aktualizace:

  • Přidá podpisy PAC do vyrovnávací paměti PAC protokolu Kerberos.

  • Přidává míry, které řeší chybu zabezpečení spočívající v obejití zabezpečení v protokolu Kerberos.

Druhá fáze nasazení začíná aktualizacemi vydanými 13. prosince 2022. Tyto a novější aktualizace provádí změny protokolu Kerberos pro audit zařízení s Windows přesunutím řadičů domény s Windows do režimu auditování.

Po této aktualizaci budou všechna zařízení ve výchozím nastavení v režimu auditování:

  • Pokud podpis chybí nebo je neplatný, je ověřování povoleno. Kromě toho se vytvoří protokol auditu. 

  • Pokud podpis chybí, vytvořte událost a povolte ověřování.

  • Pokud podpis existuje, ověřte ho. Pokud je podpis nesprávný, vytvořte událost a povolte ověřování.

Aktualizace Windows vydané 13. června 2023 nebo později budou provádět následující akce: 

  • Odeberte možnost zakázat přidávání podpisů PAC nastavením podklíče KrbtgtFullPacSignature na hodnotu 0.

Aktualizace Windows vydané 11. července 2023 nebo později budou provádět následující akce: 

  • Odebere možnost nastavit hodnotu 1 pro podklíč KrbtgtFullPacSignature.

  • Přesune aktualizaci do režimu vynucení (výchozí) (KrbtgtFullPacSignature = 3), který může správce přepsat s explicitním nastavením auditu.

Aktualizace Windows vydané 10. října 2023 nebo později budou provádět následující akce: 

  • Odebere podporu pro podklíč registru KrbtgtFullPacSignature.

  • Odebere podporu režimu auditování.

  • Všechny lístky služeb bez nových podpisů PAC bude odepřeno ověřování.

Pokyny k nasazení

Chcete-li nasadit aktualizace systému Windows, které jsou datovány 8. listopadu 2022 nebo novější aktualizace systému Windows, postupujte takto:

  1. AKTUALIZUJTE řadiče domény s Windows aktualizací vydanou 8. listopadu 2022 nebo později.

  2. Přesuňte řadiče domény do režimu auditování pomocí části Nastavení klíče registru.

  3. MONITOROVÁNÍ událostí zasílaných během režimu auditování za účelem lepšího zabezpečení vašeho prostředí

  4. POVOLIT Režim vynucení pro řešení CVE-2022-37967 ve vašem prostředí

KROK 1: AKTUALIZACE 

Nasaďte aktualizace z 8. listopadu 2022 nebo novější na všechny příslušné řadiče domény s Windows. Po nasazení aktualizace budou aktualizované řadiče domény Windows mít do vyrovnávací paměti Kerberos PAC přidané podpisy a ve výchozím nastavení budou nezabezpečené (podpis PAC se neověřuje).

  • Při aktualizaci nezapomeňte zachovat hodnotu registru KrbtgtFullPacSignature ve výchozím stavu, dokud se neaktualizují všechny řadiče domény s Windows.

KROK 2: PŘESUNUTÍ 

Po aktualizaci řadičů domény s Windows přepněte do režimu auditování změnou hodnoty KrbtgtFullPacSignature na 2.  

KROK 3: VYHLEDÁNÍ/MONITOROVÁNÍ 

Identifikujte oblasti, ve kterých chybí podpisy PAC nebo které mají podpisy PAC, u kterých se nezdaří ověření prostřednictvím protokolů událostí aktivovaných během režimu auditování.   

  • Než přejdete do režimu vynucení, ujistěte se, že je funkční úroveň domény nastavená alespoň na 2008 nebo vyšší. Přechod do režimu vynucení s doménami na úrovni funkčnosti domény 2003 může způsobit selhání ověřování.

  • Události auditu se zobrazí, pokud vaše doména není plně aktualizovaná nebo pokud ve vaší doméně stále existují nevyřešené lístky služeb vydané dříve.

  • Pokračujte monitorováním dalších protokolů událostí, které indikují chybějící podpisy PAC nebo selhání ověření existujících podpisů PAC.

  • Po aktualizaci celé domény a vypršení platnosti všech nevyřízených lístků by se už události auditu neměly zobrazovat. Pak byste měli být schopni přejít do režimu vynucení bez selhání.

KROK 4: POVOLENÍ 

Povolte režim vynucení, pokud chcete řešit chybu CVE-2022-37967 ve vašem prostředí.

  • Po vyřešení všech událostí auditu, které se už nezobrazují, přesuňte domény do režimu vynucení aktualizací hodnoty registru KrbtgtFullPacSignature , jak je popsáno v části Nastavení klíče registru.

  • Pokud má lístek služby neplatný podpis PAC nebo chybí podpisy PAC, ověření se nezdaří a zaprotokoluje se chybová událost.

Nastavení klíče registru

Protokol Kerberos

Po instalaci aktualizací systému Windows, které jsou datovány 8. listopadu 2022 nebo později, je pro protokol Kerberos k dispozici následující klíč registru:

  • KrbtgtFullPacSignature Tento klíč registru slouží k bráně nasazení změn protokolu Kerberos. Tento klíč registru je dočasný a po úplném datu vynucení 10. října 2023 se už nebude číst. 

    Klíč registru

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Hodnota

    KrbtgtFullPacSignature

    Datový typ

    REG_DWORD

    Data

    0 – Zakázáno  

    1 – Nové podpisy se přidají, ale neověřují se. (Výchozí nastavení)

    2 – Režim auditování. Nové podpisy se přidají a ověří, pokud jsou k dispozici. Pokud podpis chybí nebo je neplatný, ověřování se povolí a vytvoří se protokoly auditu.

    3 – Režim vynucení. Nové podpisy se přidají a ověří, pokud jsou k dispozici. Pokud podpis chybí nebo je neplatný, ověřování se odmítne a vytvoří se protokoly auditu.

    Vyžaduje se restartování?

    Ne

    Poznámka Pokud potřebujete změnit hodnotu registru KrbtgtFullPacSignature, ručně přidejte a nakonfigurujte klíč registru tak, aby přepsaly výchozí hodnotu.

Události Windows související s CVE-2022-37967

V režimu auditování může dojít k některé z následujících chyb, pokud podpisy PAC chybí nebo jsou neplatné. Pokud tento problém přetrvává i během režimu vynucení, tyto události se zaprotokolují jako chyby.

Pokud na svém zařízení zjistíte některou z chyb, je pravděpodobné, že všechny řadiče domény s Windows ve vaší doméně nejsou aktuální aktualizací Systému Windows z 8. listopadu 2022 nebo novější. Pokud chcete tyto problémy zmírnit, budete muset podrobněji prozkoumat svoji doménu, abyste našli řadiče domény s Windows, které nejsou aktuální.  

Poznámka Pokud zjistíte chybu s ID události 42, přečtěte si článek KB5021131: Správa změn protokolu Kerberos souvisejících s CVE-2022-37966.

Protokol událostí

Systém

Typ události

Upozornění

Zdroj události

Microsoft-Windows-Kerberos-Key-Distribution-Center

ID události

43

Text události

Centrum distribuce klíčů (KDC) zjistilo lístek, který nemohl ověřit úplný podpis PAC. Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2210019. Klient:> <sféry>/<Name

Protokol událostí

Systém

Typ události

Upozornění

Zdroj události

Microsoft-Windows-Kerberos-Key-Distribution-Center

ID události

44

Text události

V centru distribuce klíčů (KDC) došlo k lístku, který neobsažoval úplný podpis PAC. Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2210019. Klient:> <sféry>/<Name

Zařízení třetích stran implementuje protokol Kerberos

Doménám, které mají řadiče domény třetích stran, se můžou v režimu vynucení zobrazovat chyby.

Doménám s klienty třetích stran může trvat déle, než se po instalaci aktualizace Windows z 8. listopadu 2022 nebo novější úplně vyčistí události auditu.

Obraťte se na výrobce zařízení (OEM) nebo dodavatele softwaru a zjistěte, jestli je jeho software kompatibilní s nejnovější změnou protokolu.

Informace o aktualizacích protokolu najdete v tématu Protokol systému Windows na webu Společnosti Microsoft.

Slovníček

Kerberos je ověřovací protokol počítačové sítě, který funguje na základě "lístků", aby uzly komunikovaly přes síť, aby si navzájem bezpečně prokázaly svou identitu.

Služba Kerberos, která implementuje služby ověřování a udělování lístků zadané v protokolu Kerberos. Služba běží na počítačích vybraných správcem sféry nebo domény. nenachází se na všech počítačích v síti. Musí mít přístup k databázi účtů pro sféru, které slouží. Klíčové řadiče domény jsou integrované do role řadiče domény. Jedná se o síťovou službu, která klientům dodává lístky pro použití při ověřování ve službách.

Certifikát PAC (Privilege Attribute Certificate) je struktura, která předává informace související s autorizací poskytované řadiči domény. Další informace najdete v tématu Datová struktura certifikátu atributu oprávnění.

Speciální typ lístku, který lze použít k získání dalších lístků. Lístek TGT (Ticket-granting Ticket) se získá po počátečním ověření v rámci výměny ověřovací služby (AS). poté uživatelé nemusí předkládat své přihlašovací údaje, ale mohou použít TGT k získání následných lístků.

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.