Protokol změn
Změna 1: 19. června 2023:
|
V tomto článku
Shrnutí
Aktualizace Windows vydané 8. listopadu 2022 nebo později řeší chybu zabezpečení při vyjednávání ověřování obejitím zabezpečení a zvýšením oprávnění pomocí slabého vyjednávání RC4-HMAC.
Tato aktualizace nastaví AES jako výchozí typ šifrování pro klíče relace u účtů, které ještě nejsou označené výchozím typem šifrování.
Pro lepší zabezpečení prostředí nainstalujte aktualizace Windows vydané 8. listopadu 2022 nebo později na všechna zařízení včetně řadičů domény. Viz Změna 1.
Další informace o těchto chybách zabezpečení najdete v cve-2022-37966.
Zjišťování explicitního nastavení typů šifrování klíčů relace
U uživatelských účtů jste možná explicitně definovali typy šifrování, které jsou ohroženy chybou CVE-2022-37966. Pomocí následujícího dotazu služby Active Directory vyhledejte účty, ve kterých je explicitně povolená služba DES/RC4, ale ne AES:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Nastavení klíče registru
Po instalaci aktualizací systému Windows, které jsou datovány 8. listopadu 2022 nebo později, je pro protokol Kerberos k dispozici následující klíč registru:
DefaultDomainSupportedEncTypes
Klíč registru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
Hodnota |
DefaultDomainSupportedEncTypes |
Datový typ |
REG_DWORD |
Hodnota dat |
0x27 (výchozí) |
Vyžaduje se restartování? |
Ne |
Poznámka Pokud musíte změnit výchozí podporovaný typ šifrování pro uživatele nebo počítač služby Active Directory, přidejte a nakonfigurujte klíč registru ručně tak, aby nastavil nový podporovaný typ šifrování. Tato aktualizace automaticky nepřidá klíč registru.
Řadiče domény windows používají tuto hodnotu k určení podporovaných typů šifrování u účtů ve službě Active Directory, jejichž hodnota msds-SupportedEncryptionType je prázdná nebo není nastavená. Počítač s podporovanou verzí operačního systému Windows automaticky nastaví msds-SupportedEncryptionTypes pro tento účet počítačů ve službě Active Directory. To je založeno na nakonfigurované hodnotě typů šifrování, které může protokol Kerberos používat. Další informace najdete v tématu Zabezpečení sítě: Konfigurace typů šifrování povolených pro Protokol Kerberos.
Uživatelské účty, skupinové účty spravované služby a další účty ve službě Active Directory nemají automaticky nastavenou hodnotu msds-SupportedEncryptionTypes .
Pokud chcete najít podporované typy šifrování, které můžete nastavit ručně, přečtěte si téma Podporované typy šifrování – bitové příznaky. Další informace najdete v tématu , co byste měli udělat jako první, abyste pomohli připravit prostředí a zabránit problémům s ověřováním protokolem Kerberos.
Výchozí hodnota 0x27 (DES, RC4, Klíče relace AES) byla vybrána jako minimální změna potřebná pro tuto aktualizaci zabezpečení. Doporučujeme zákazníkům nastavit hodnotu na 0x3C pro zvýšení zabezpečení, protože tato hodnota umožní jak lístky šifrované AES, tak klíče relace AES. Pokud zákazníci postupovali podle našich pokynů k přechodu do prostředí pouze AES, ve kterém se pro protokol Kerberos nepoužívá verze RC4, doporučujeme, aby tuto hodnotu nastavili na 0x38. Viz Změna 1.
Události Windows související s CVE-2022-37966
V centru distribuce klíčů Kerberos chybí silné klíče pro účet.
Protokol událostí |
Systém |
Typ události |
Chyba |
Zdroj události |
Kdcsvc |
ID události |
42 |
Text události |
V centru distribuce klíčů Kerberos chybí silné klíče pro account: accountname. Heslo tohoto účtu je nutné aktualizovat, aby se zabránilo použití nezabezpečené kryptografie. Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2210019. |
Pokud zjistíte tuto chybu, budete pravděpodobně muset resetovat heslo krbtgt před nastavením KrbtgtFullPacSingature = 3 nebo instalací windows Aktualizace vydané 11. července 2023 nebo později. Aktualizace, která programově povoluje režim vynucení pro CVE-2022-37967, je popsána v následujícím článku znalostní báze Microsoft Knowledge Base:
KB5020805: Správa změn protokolu Kerberos souvisejících s CVE-2022-37967
Další informace o tom, jak to udělat, najdete v tématu New-KrbtgtKeys.ps1 na webu GitHubu.
Nejčastější dotazy a známé problémy
Účty, které jsou označeny příznakem explicitního použití RC4, jsou zranitelné. Kromě toho můžou být ohrožená prostředí, která v účtu krbgt nemají klíče relací AES. Pokud chcete tento problém zmírnit, postupujte podle pokynů k identifikaci ohrožení zabezpečení a použití části Nastavení klíče registru k aktualizaci explicitně nastavených výchozích hodnot šifrování.
Budete muset ověřit, že všechna vaše zařízení mají společný typ šifrování Kerberos. Další informace o typech šifrování kerberos najdete v tématu Dešifrování výběru podporovaných typů šifrování Kerberos.
Prostředí bez běžného typu šifrování Kerberos mohla být dříve funkční kvůli automatickému přidání rc4 nebo přidání AES, pokud byla rc4 zakázána prostřednictvím zásad skupiny řadiči domény. Toto chování se změnilo s aktualizacemi vydanými 8. listopadu 2022 nebo později a bude se nyní striktně řídit tím, co je nastaveno v klíčích registru msds-SupportedEncryptionTypes a DefaultDomainSupportedEncTypes.
Pokud účet nemá nastavenou hodnotu msds-SupportedEncryptionTypes nebo je nastavená na hodnotu 0, řadiče domény převezmou výchozí hodnotu 0x27 (39) nebo řadič domény použije nastavení v klíči registru DefaultDomainSupportedEncTypes.
Pokud má účet nastavený msds-SupportedEncryptionTypes , toto nastavení se respektuje a může vystavit selhání konfigurace běžného typu šifrování Kerberos maskovaného předchozím chováním automatického přidávání rc4 nebo AES, což už není chování po instalaci aktualizací vydaných 8. listopadu 2022 nebo později.
Informace o tom, jak ověřit, že máte společný typ šifrování Kerberos, najdete v tématu Jak můžu ověřit, že všechna moje zařízení mají společný typ šifrování Kerberos?
Další informace o tom, proč vaše zařízení nemusí mít po instalaci aktualizací vydaných 8. listopadu 2022 nebo později společný typ šifrování Kerberos, najdete v předchozí otázce.
Pokud jste již nainstalovali aktualizace vydané 8. listopadu 2022 nebo později, můžete zjistit zařízení, která nemají společný typ šifrování Kerberos, tak, že v protokolu událostí vyhledáte událost Microsoft-Windows-Kerberos-Key-Distribution-Center 27, která identifikuje nesouvislé typy šifrování mezi klienty Kerberos a vzdálenými servery nebo službami.
Instalace aktualizací vydaných 8. listopadu 2022 nebo později na klientech nebo serverech rolí jiných než řadič domény by neměla mít vliv na ověřování protokolem Kerberos ve vašem prostředí.
Pokud chcete tento známý problém zmírnit, otevřete okno příkazového řádku jako správce a dočasně pomocí následujícího příkazu nastavte klíč registru KrbtgtFullPacSignature na hodnotu 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Poznámka Jakmile se tento známý problém vyřeší, měli byste nastavit KrbtgtFullPacSignature na vyšší nastavení v závislosti na tom, co vaše prostředí umožní. Doporučujeme, aby byl režim vynucení povolený, jakmile bude vaše prostředí připravené.
Další krokyPracujeme na řešení a v některém z nadcházejících vydání poskytneme aktualizaci.
Po instalaci aktualizací vydaných 8. listopadu 2022 nebo později na řadičích domény musí všechna zařízení podporovat podepisování lístků AES podle potřeby, aby byla kompatibilní s posílením zabezpečení vyžadovaným pro CVE-2022-37967.
Další kroky Pokud už používáte nejnovější software a firmware pro zařízení, která nejsou windows, a ověřili jste, že mezi řadiči domény s Windows a zařízeními, která nejsou windows, je k dispozici běžný typ šifrování, budete muset požádat o pomoc výrobce OEM nebo nahradit zařízení vyhovujícími předpisům.
DŮLEŽITÉ Nedoporučujeme používat žádné alternativní řešení, které povolí ověřování zařízení, která nedodržují předpisy, protože to může vaše prostředí ohrozit.
Nepodporované verze systému Windows zahrnují systémy Windows XP, Windows Server 2003, Windows Server 2008 SP2 a Windows Server 2008 R2 SP1, pokud nemáte licenci ESU, nelze získat přístup k aktualizovaným zařízením s Windows. Pokud máte licenci ESU, budete muset nainstalovat aktualizace vydané 8. listopadu 2022 nebo později a ověřit, že má vaše konfigurace k dispozici společný typ šifrování mezi všemi zařízeními.
Další kroky Nainstalujte aktualizace, pokud jsou dostupné pro vaši verzi Windows a máte příslušnou licenci ESU. Pokud aktualizace nejsou dostupné, budete muset upgradovat na podporovanou verzi Windows nebo přesunout libovolnou aplikaci nebo službu na vyhovující zařízení.
DŮLEŽITÉ Nedoporučujeme používat žádné alternativní řešení, které povolí ověřování zařízení, která nedodržují předpisy, protože to může vaše prostředí ohrozit.
Tento známý problém byl vyřešen v aktualizacích mimo pásmo vydaných 17. listopadu 2022 a 18. listopadu 2022 pro instalaci na všechny řadiče domény ve vašem prostředí. Pokud chcete tento problém vyřešit, nemusíte instalovat žádné aktualizace ani provádět žádné změny na jiných serverech nebo klientských zařízeních ve vašem prostředí. Pokud jste pro tento problém použili jakékoli alternativní řešení nebo zmírnění tohoto problému, už je nepotřebujete a doporučujeme je odebrat.
Pokud chcete získat samostatný balíček pro tyto mimopásmové aktualizace, vyhledejte číslo znalostní báze v Katalogu služby Microsoft Update. Tyto aktualizace můžete ručně importovat do služby Windows Server Update Services (WSUS) a Microsoft Endpoint Configuration Manager. Pokyny ke službě WSUS najdete v tématu Služba WSUS a web katalogu. Pokyny ke správci konfigurace najdete v tématu Import aktualizací z katalogu služby Microsoft Update.
Poznámka Následující aktualizace nejsou v služba Windows Update k dispozici a nenainstalují se automaticky.
Kumulativní aktualizace:
Poznámka Před instalací těchto kumulativních aktualizací není nutné instalovat žádné předchozí aktualizace. Pokud jste již nainstalovali aktualizace vydané 8. listopadu 2022, nemusíte aktualizace, kterých se to týká, odinstalovat před instalací jakýchkoli pozdějších aktualizací včetně výše uvedených aktualizací.
Samostatný Aktualizace:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (vydáno 18. listopadu 2022)
-
Windows Server 2008 SP2: KB5021657
Poznámky
-
Pokud pro tyto verze Windows Serveru používáte pouze aktualizace zabezpečení, stačí tyto samostatné aktualizace nainstalovat pouze na listopad 2022. Pouze aktualizace zabezpečení nejsou kumulativní a budete také muset nainstalovat všechny předchozí aktualizace jenom pro zabezpečení, aby byly plně aktuální. Měsíční kumulativní aktualizace jsou kumulativní a zahrnují aktualizace zabezpečení a všechny aktualizace pro zvýšení kvality.
-
Pokud používáte měsíční kumulativní aktualizace, budete muset k vyřešení tohoto problému nainstalovat samostatné aktualizace uvedené výše a nainstalovat měsíční kumulativní aktualizace vydané 8. listopadu 2022, abyste mohli dostávat aktualizace pro zvýšení kvality pro listopad 2022. Pokud jste již nainstalovali aktualizace vydané 8. listopadu 2022, nemusíte aktualizace, kterých se to týká, odinstalovat před instalací jakýchkoli pozdějších aktualizací včetně výše uvedených aktualizací.
Pokud jste ověřili konfiguraci vašeho prostředí a stále dochází k problémům s implementací protokolu Kerberos, která není společností Microsoft, budete potřebovat aktualizace nebo podporu od vývojáře nebo výrobce aplikace nebo zařízení.
Tento známý problém můžete zmírnit jedním z následujících způsobů:
-
Nastavte msds-SupportedEncryptionTypes s bitovou bitové nebo ho nastavte na aktuální výchozí 0x27 zachovat jeho aktuální hodnotu. Například:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Nastavte msds-SupportEncryptionTypes na 0 , aby řadiče domény používaly výchozí hodnotu 0x27.
Další krokyPracujeme na řešení a v některém z nadcházejících vydání poskytneme aktualizaci.
Slovníček
AES (Advanced Encryption Standard) je bloková šifra, která nahrazuje standard DES (Data Encryption Standard). AES lze použít k ochraně elektronických dat. Algoritmus AES se dá použít k šifrování (šifrování) a dešifrování (dešifrování) informací. Šifrování převádí data na nesrozumitelnou formu s názvem šifrový text; dešifrování šifrového textu převede data zpět do původní podoby, která se nazývá prostý text. AES se používá v kryptografii symetrického klíče, což znamená, že stejný klíč se používá pro operace šifrování a dešifrování. Je to také bloková šifra, což znamená, že pracuje s bloky s pevnou velikostí prostého textu a šifrového textu a vyžaduje, aby velikost prostého textu a šifrového textu byla přesným násobkem této velikosti bloku. AES se také označuje jako algoritmus symetrického šifrování Rijndael [FIPS197].
Kerberos je ověřovací protokol počítačové sítě, který funguje na základě "lístků", aby uzly komunikovaly přes síť, aby si navzájem bezpečně prokázaly svou identitu.
Služba Kerberos, která implementuje služby ověřování a udělování lístků zadané v protokolu Kerberos. Služba běží na počítačích vybraných správcem sféry nebo domény. nenachází se na všech počítačích v síti. Musí mít přístup k databázi účtů pro sféru, které slouží. Klíčové řadiče domény jsou integrované do role řadiče domény. Jedná se o síťovou službu, která klientům dodává lístky pro použití při ověřování ve službách.
RC4-HMAC (RC4) je symetrický šifrovací algoritmus s proměnnou délkou klíče. Další informace najdete v části [SCHNEIER] 17.1.
Relativně krátkodobý symetrický klíč (kryptografický klíč vyjednaný klientem a serverem na základě sdíleného tajného klíče) Životnost klíčů relace je ohraničena relací, ke které je přidružena. Klíč relace musí být dostatečně silný, aby vydržel kryptografickou analýzu po celou dobu trvání relace.
Speciální typ lístku, který lze použít k získání dalších lístků. Lístek TGT (Ticket-grant Ticket) je získán po počátečním ověření v ověřovací službě (AS) výměna; poté uživatelé nemusí předkládat své přihlašovací údaje, ale mohou použít TGT k získání následných lístků.