Protokol změn
Změna 1: 5. dubna 2023: V části Časování aktualizací pro řešení CVE-2022-38023 se přesunula fáze výchozího vynucování klíče registru z 11. dubna 2023 na 13. června 2023. Změna 2: 20. dubna 2023: Byl odebrán nepřesný odkaz na objekt zásad skupiny "Řadič domény: Povolit připojení zabezpečených kanálů Netlogon" v části Nastavení klíče registru. Změna 3: 19. června 2023:
|
V tomto článku
Shrnutí
Aktualizace systému Windows z 8. listopadu 2022 a novější řeší slabá místa v protokolu Netlogon, když se místo zapečetění RPC používá podepisování RPC. Další informace najdete v cve-2022-38023 .
Rozhraní vzdáleného volání procedur (RPC) protokolu Netlogon se primárně používá k udržování vztahu mezi zařízením a jeho doménou a vztahy mezi řadiči domény (DC) a doménami.
Tato aktualizace ve výchozím nastavení chrání zařízení s Windows před cve-2022-38023 . U klientů třetích stran a řadičů domény třetích stran je aktualizace ve výchozím nastavení v režimu kompatibility a umožňuje z těchto klientů připojení s ohrožením zabezpečení. Postup přechodu do režimu vynucení najdete v části Nastavení klíče registru .
Pro lepší zabezpečení prostředí nainstalujte aktualizaci Windows z 8. listopadu 2022 nebo novější na všechna zařízení včetně řadičů domény.
Důležité Od června 2023 bude režim vynucení povolený na všech řadičích domény s Windows a bude blokovat zranitelná připojení ze zařízení, která nedodržují předpisy. V takovém okamžiku nebudete moct aktualizaci zakázat, ale můžete přejít zpět k nastavení Režimu kompatibility. Režim kompatibility bude v červenci 2023 odebrán, jak je uvedeno v části Časování aktualizací pro řešení chyby zabezpečení netlogon CVE-2022-38023 .
Načasování aktualizací pro řešení CVE-2022-38023
Aktualizace bude vydána v několika fázích: počáteční fáze pro aktualizace vydané 8. listopadu 2022 nebo později a fáze vynucení aktualizací vydaných 11. července 2023 nebo později.
Počáteční fáze nasazení začíná aktualizacemi vydanými 8. listopadu 2022 a pokračuje s pozdějšími aktualizacemi systému Windows až do fáze vynucení. Aktualizace systému Windows 8. listopadu 2022 nebo později řeší chybu zabezpečení cve-2022-38023 spočívající v obejití zabezpečení tím, že u všech klientů Windows vynucují zapečetění rpc.
Ve výchozím nastavení se zařízení nastaví v režimu kompatibility. Řadiče domény windows budou vyžadovat, aby klienti Netlogon používali pečeť RPC, pokud používají Windows nebo pokud fungují jako řadiče domény nebo jako důvěryhodné účty.
Aktualizace Windows vydané 11. dubna 2023 nebo později odeberou možnost zakázat zapečetění RPC nastavením hodnoty 0 na podklíč registru RequireSeal .
Pokud správci explicitně nenakonfigurují režim kompatibility, podklíč registru RequireSeal se přesune do režimu vynucení. Ohrožená připojení ze všech klientů, včetně třetích stran, budou odepřena. Viz Změna 1.
Aktualizace Windows vydané 11. července 2023 odeberou možnost nastavit hodnotu 1 na podklíč registru RequireSeal . Tím se povolí fáze vynucování CVE-2022-38023.
Nastavení klíče registru
Po instalaci aktualizací systému Windows, které jsou datovány 8. listopadu 2022 nebo později, je pro protokol Netlogon na řadičích domény Windows k dispozici následující podklíč registru.
DŮLEŽITÉ Tato aktualizace ani budoucí změny vynucení automaticky nepřidají ani neodeberou podklíč registru RequireSeal. Tento podklíč registru musí být přidán ručně, aby se načetl. Viz Změna 3.
Podklíč RequireSeal
Klíč registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Hodnota |
RequireSeal |
Datový typ |
REG_DWORD |
Data |
0 – Zakázáno 1 – Režim kompatibility. Řadiče domény windows budou vyžadovat, aby klienti Netlogon používali protokol RPC Seal, pokud používají Windows nebo pokud fungují jako řadiče domény nebo důvěryhodné účty. 2 – Režim vynucování. Všichni klienti musí používat pečeť RPC. Viz Změna 2. |
Vyžaduje se restartování? |
Ne |
Události Windows související s CVE-2022-38023
POZNÁMKA Následující události mají 1hodinovou vyrovnávací paměť, ve které jsou během této vyrovnávací paměti zahozeny duplicitní události, které obsahují stejné informace.
Protokol událostí |
Systém |
Typ události |
Chyba |
Zdroj události |
NETLOGON |
ID události |
5838 |
Text události |
Služba Netlogon zjistila, že klient používá podepisování RPC místo zapečetění RPC. |
Pokud v protokolech událostí najdete tuto chybovou zprávu, musíte k vyřešení systémové chyby provést následující akce:
-
Ověřte, že na zařízení běží podporovaná verze Windows.
-
Zkontrolujte, jestli jsou všechna zařízení aktuální.
-
Zkontrolujte, jestli je možnost Člen domény: Člen domény Digitálně šifrovat nebo podepsat data zabezpečeného kanálu (vždy) nastavená na Povoleno .
Protokol událostí |
Systém |
Typ události |
Chyba |
Zdroj události |
NETLOGON |
ID události |
5839 |
Text události |
Služba Netlogon zjistila vztah důvěryhodnosti pomocí podepisování RPC místo zapečetění RPC. |
Protokol událostí |
Systém |
Typ události |
Upozornění |
Zdroj události |
NETLOGON |
ID události |
5840 |
Text události |
Služba Netlogon vytvořila zabezpečený kanál s klientem s rc4. |
Pokud najdete událost 5840, znamená to, že klient ve vaší doméně používá slabou kryptografii.
Protokol událostí |
Systém |
Typ události |
Chyba |
Zdroj události |
NETLOGON |
ID události |
5841 |
Text události |
Služba Netlogon zamítla klienta používajícího rc4 kvůli nastavení RejectMd5Clients. |
Pokud najdete událost 5841, znamená to, že hodnota RejectMD5Clients je nastavená na hodnotu PRAVDA .
RejectMD5Clients abstraktního datového modelu.
Klíč RejectMD5Clients je již existující klíč ve službě Netlogon. Další informace najdete v popisuNejčastější dotazy
Toto CVE se týká všech účtů počítačů připojených k doméně. Události zobrazí, koho tento problém nejvíce ovlivňuje po instalaci aktualizací Windows z 8. listopadu 2022 nebo novějších. Pokud chcete problémy vyřešit, projděte si část Chyby protokolu událostí .
Tato aktualizace zavádí protokoly událostí pro klienty, kteří používají rc4, aby pomohla rozpoznat starší klienty, kteří nepoužívají nejsilnější dostupné kryptografické služby.
Podepisování RPC je, když protokol Netlogon používá RPC k podepisování zpráv, které odesílá přes kabel. Zapečetění rpc je, když protokol Netlogon podepisuje i šifruje zprávy, které odesílá přes kabel.
Řadič domény Windows určuje, jestli klient Netlogon používá Windows, tím, že v Active Directory pro klienta Netlogon dotáže atribut OperatingSystem a zkontroluje následující řetězce:
-
Windows, Hyper-V Server a Azure Stack HCI
Nedoporučujeme ani nepodporujeme, aby klienti Netlogonu nebo správci domény tento atribut změnili na hodnotu, která není reprezentativní pro operační systém spuštěný klient Netlogon. Mějte na paměti, že kritéria hledání můžeme kdykoli změnit. Viz Změna 3.
Fáze vynucení neodmítá klienty Netlogon na základě typu šifrování, které klienti používají. Klienti Netlogon budou odmítnuti pouze v případě, že místo zapečetění RPC podepisují RPC. Odmítnutí klientů Netlogon rc4 je založeno na klíči registru RejectMd5Clients, který je k dispozici pro řadiče domény systému Windows Server 2008 R2 a novější. Fáze vynucení pro tuto aktualizaci nezmění hodnotu RejectMd5Clients. Doporučujeme, aby zákazníci ve svých doménách povolili hodnotu RejectMd5Clients kvůli vyššímu zabezpečení. Viz Změna 3.
Slovníček
AES (Advanced Encryption Standard) je bloková šifra, která nahrazuje standard DES (Data Encryption Standard). AES lze použít k ochraně elektronických dat. Algoritmus AES se dá použít k šifrování (šifrování) a dešifrování (dešifrování) informací. Šifrování převádí data na nesrozumitelnou formu s názvem šifrový text; dešifrování šifrového textu převede data zpět do původní podoby, která se nazývá prostý text. AES se používá v kryptografii symetrického klíče, což znamená, že stejný klíč se používá pro operace šifrování a dešifrování. Je to také bloková šifra, což znamená, že pracuje s bloky s pevnou velikostí prostého textu a šifrového textu a vyžaduje, aby velikost prostého textu a šifrového textu byla přesným násobkem této velikosti bloku. AES je také známý jako algoritmus symetrického šifrování Rijndael [FIPS197] .
V systém Windows NT prostředí zabezpečení sítě kompatibilním s operačním systémem je komponenta zodpovědná za synchronizační a údržbové funkce mezi primárním řadičem domény (PDC) a záložními řadiči domény (BDC). Netlogon je předchůdcem protokolu DRS (Directory Replication Server). Rozhraní vzdáleného volání procedur (RPC) protokolu Netlogon se primárně používá k udržování vztahu mezi zařízením a jeho doménou a vztahy mezi řadiči domény (DC) a doménami. Další informace najdete v tématu Netlogon Remote Protocol.
RC4-HMAC (RC4) je symetrický šifrovací algoritmus s proměnnou délkou klíče. Další informace najdete v části [SCHNEIER] 17.1.
Ověřené připojení vzdáleného volání procedur (RPC) mezi dvěma počítači v doméně se zavedeným kontextem zabezpečení , který se používá k podepisování a šifrování paketů RPC .