Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Opdateret

10. april 2023: Opdateret "Tredje installationsfase" fra 11. april 2023 til 13. juni 2023 i afsnittet "Timing af opdateringer for at adressere CVE-2022-37967".

I denne artikel

Sammendrag

Windows-opdateringerne fra d. 8. november 2022 omhandler sikkerhedsforsidesættelse og udvidelse af rettighedssårbarheder med PAC-signaturer (Privilege Attribute Certificate). Denne sikkerhedsopdatering løser Kerberos-sårbarheder, hvor en hacker digitalt kan ændre PAC-signaturer og øge deres rettigheder.

For at beskytte dit miljø skal du installere denne Windows-opdatering på alle enheder, herunder Windows-domænecontrollere. Alle domænecontrollere i dit domæne skal opdateres først, før du skifter opdateringen til gennemtvunget tilstand.

Du kan få mere at vide om disse sårbarheder under CVE-2022-37967.

Gør noget

For at beskytte dit miljø og forhindre afbrydelser anbefaler vi, at du gør følgende:

  1. OPDATER dine Windows-domænecontrollere med en Windows-opdatering, der er udgivet den 8. november 2022 eller derefter.

  2. FLYT dine Windows-domænecontrollere til overvågningstilstand ved hjælp af afsnittet Indstilling af registreringsdatabasenøgle .

  3. MONITOR-hændelser , der arkiveres under overvågningstilstand for at sikre dit miljø.

  4. AKTIVERERHåndhævelsestilstand til at håndtere CVE-2022-37967 i dit miljø.

Bemærk Trin 1 i installation af opdateringer, der er udgivet den 8. november 2022 eller derefter, løser SOM standard IKKE sikkerhedsproblemerne i CVE-2022-37967 til Windows-enheder. Hvis du vil afhjælpe sikkerhedsproblemet fuldt ud for alle enheder, skal du skifte til overvågningstilstand (beskrevet i trin 2) efterfulgt af Gennemtvunget tilstand (beskrevet i trin 4) så hurtigt som muligt på alle Windows-domænecontrollere.

Vigtigt! Fra og med juli 2023 vil gennemtvingelsestilstand være aktiveret på alle Windows-domænecontrollere og blokere sårbare forbindelser fra ikke-kompatible enheder.  På det tidspunkt vil du ikke kunne deaktivere opdateringen, men kan gå tilbage til indstillingen Overvågningstilstand. Overvågningstilstand fjernes i oktober 2023, som beskrevet i afsnittet Timing of updates to address Kerberos vulnerability CVE-2022-37967 .

Tidsindstillinger for opdateringer til adressen CVE-2022-37967

Opdateringer frigives i faser: den første fase for opdateringer, der er udgivet den 8. november 2022 eller derefter, og håndhævelsesfasen for opdateringer, der er udgivet den 13. juni 2023 eller derefter.

Den indledende installationsfase starter med de opdateringer, der blev udgivet d. 8. november 2022, og fortsætter med senere Windows-opdateringer indtil håndhævelsesfasen. Denne opdatering føjer signaturer til Kerberos PAC-bufferen, men kontrollerer ikke signaturer under godkendelse. Derfor er sikker tilstand deaktiveret som standard.

Denne opdatering:

  • Føjer PAC-signaturer til Kerberos PAC-bufferen.

  • Tilføjer foranstaltninger for at afhjælpe sikkerhedsrisiko ved omgåelse af sikkerhed i Kerberos-protokollen.

Den anden installationsfase starter med opdateringer, der er udgivet d. 13. december 2022. Disse og nyere opdateringer foretager ændringer i Kerberos-protokollen for at overvåge Windows-enheder ved at flytte Windows-domænecontrollere til overvågningstilstand.

Med denne opdatering er alle enheder som standard i overvågningstilstand:

  • Hvis signaturen mangler eller er ugyldig, er godkendelse tilladt. Desuden oprettes der en overvågningslog. 

  • Hvis signaturen mangler, skal du hæve en hændelse og tillade godkendelsen.

  • Hvis signaturen er til stede, skal du validere den. Hvis signaturen er forkert, skal du hæve en hændelse og tillade godkendelsen.

De Windows-opdateringer, der er udgivet den 13. juni 2023 eller derefter, gør følgende: 

  • Fjern muligheden for at deaktivere tilføjelse af PAC-signatur ved at indstille undernøglen KrbtgtFullPacSignature til en værdi på 0.

De Windows-opdateringer, der er udgivet den 11. juli 2023 eller derefter, gør følgende: 

  • Fjerner muligheden for at angive værdi 1 for undernøglen KrbtgtFullPacSignature.

  • Flytter opdateringen til gennemtvingelsestilstand (standard) (KrbtgtFullPacSignature = 3), som kan tilsidesættes af en administrator med en eksplicit overvågningsindstilling.

De Windows-opdateringer, der er udgivet den 10. oktober 2023 eller derefter, gør følgende: 

  • Fjerner understøttelse af undernøglen KrbtgtFullPacSignature i registreringsdatabasen.

  • Fjerner understøttelse af overvågningstilstand.

  • Alle servicebilletter uden de nye PAC-signaturer nægtes godkendelse.

Retningslinjer for installation

Hvis du vil installere Windows-opdateringer, der er dateret d. 8. november 2022 eller nyere windows-opdateringer, skal du følge disse trin:

  1. OPDATER dine Windows-domænecontrollere med en opdatering, der blev udgivet den 8. november 2022 eller derefter.

  2. FLYT dine domænecontrollere til overvågningstilstand ved hjælp af sektionen Indstilling af registreringsdatabasenøgle.

  3. OVERVÅG hændelser, der arkiveres under overvågningstilstand for at beskytte dit miljø.

  4. AKTIVERER Håndhævelsestilstand til at håndtere CVE-2022-37967 i dit miljø.

TRIN 1: OPDATER 

Installér opdateringerne fra d. 8. november 2022 eller nyere til alle relevante Windows-domænecontrollere (DCs). Når du har installeret opdateringen, vil Windows-domænecontrollere, der er blevet opdateret, have signaturer føjet til Kerberos PAC Buffer og vil som standard være usikre (PAC-signatur er ikke valideret).

  • Mens du opdaterer, skal du sørge for at beholde registreringsdatabaseværdien KrbtgtFullPacSignature i standardtilstanden, indtil alle Windows-domænecontrollere er opdateret.

TRIN 2: FLYT 

Når Windows-domænecontrollerne er opdateret, kan du skifte til overvågningstilstand ved at ændre krbtgtFullPacSignature-værdien til 2.  

TRIN 3: FIND/SKÆRM 

Identificer områder, der mangler PAC-signaturer, eller som har PAC-signaturer, der ikke kan valideres, via hændelseslogfiler, der udløses under overvågningstilstand.   

  • Sørg for, at domænets funktionsniveau er indstillet til mindst 2008 eller højere, før du skifter til gennemtvingelsestilstand. Hvis du skifter til gennemtvingelsestilstand med domæner på 2003-domænets funktionsniveau, kan det medføre godkendelsesfejl.

  • Overvågningshændelser vises, hvis dit domæne ikke er fuldt opdateret, eller hvis der stadig findes udestående servicebilletter, der er udstedt tidligere, på dit domæne.

  • Fortsæt med at overvåge, om der er arkiveret yderligere hændelseslogge, der angiver enten manglende PAC-signaturer eller valideringsfejl for eksisterende PAC-signaturer.

  • Når hele domænet er opdateret, og alle udestående billetter er udløbet, bør overvågningshændelserne ikke længere vises. Derefter skal du kunne gå til gennemtvingelsestilstand uden fejl.

TRIN 4: AKTIVÉR 

Aktivér gennemtvingelsestilstand for at løse CVE-2022-37967 i dit miljø.

  • Når alle overvågningshændelser er blevet løst og ikke længere vises, skal du flytte dine domæner til gennemtvingelsestilstand ved at opdatere registreringsdatabaseværdien KrbtgtFullPacSignature som beskrevet i afsnittet Indstillinger for registreringsdatabasenøgle.

  • Hvis en servicebillet har en ugyldig PAC-signatur eller mangler PAC-signaturer, mislykkes valideringen, og der logføres en fejlhændelse.

Indstillinger for registreringsdatabasenøgle

Kerberos-protokol

Når du har installeret de Windows-opdateringer, der er dateret den 8. november 2022 eller derefter, er følgende registreringsdatabasenøgle tilgængelig for Kerberos-protokollen:

  • KrbtgtFullPacSignature Denne registreringsdatabasenøgle bruges til at benytte udrulningen af Kerberos-ændringerne. Denne registreringsdatabasenøgle er midlertidig og læses ikke længere efter den fulde gennemtvingelsesdato d. 10. oktober 2023. 

    Registreringsdatabasenøgle

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Værdi

    KrbtgtFullPacSignature

    Datatype

    REG_DWORD

    Data

    0 – Deaktiveret  

    1 – Nye signaturer tilføjes, men bekræftes ikke. (Standardindstilling)

    2 – Overvågningstilstand. Nye signaturer tilføjes og bekræftes, hvis de findes. Hvis signaturen mangler eller er ugyldig, tillades godkendelse, og der oprettes overvågningslogge.

    3 – Håndhævelsestilstand. Nye signaturer tilføjes og bekræftes, hvis de findes. Hvis signaturen mangler eller er ugyldig, nægtes godkendelse, og der oprettes overvågningslogge.

    Skal du genstarte?

    Nej

    Bemærk! Hvis du vil ændre registreringsdatabaseværdien KrbtgtFullPacSignature, skal du manuelt tilføje og derefter konfigurere registreringsdatabasenøglen til at tilsidesætte standardværdien.

Windows-hændelser, der er relateret til CVE-2022-37967

I overvågningstilstand kan du finde en af følgende fejl, hvis PAC-signaturer mangler eller er ugyldige. Hvis problemet fortsætter under gennemtvingelsestilstand, logføres disse hændelser som fejl.

Hvis du finder en af fejlene på din enhed, er det sandsynligt, at alle Windows-domænecontrollere på dit domæne ikke er opdateret med en Windows-opdatering fra 8. november 2022 eller nyere. Hvis du vil afhjælpe problemerne, skal du undersøge dit domæne yderligere for at finde Windows-domænecontrollere, der ikke er opdaterede.  

Bemærk! Hvis du finder en fejl med hændelses-id 42, skal du se KB5021131: Sådan administreres Kerberos-protokolændringer, der er relateret til CVE-2022-37966.

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Hændelses-id

43

Hændelsestekst

Nøgledistributionscentret (KDC) fandt en billet, som ikke kunne validere fuld PAC-signatur. Se https://go.microsoft.com/fwlink/?linkid=2210019 for at få mere at vide. Klient : <realm>/<Name>

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Hændelses-id

44

Hændelsestekst

Nøgledistributionscentret (KDC) fandt en billet, der ikke indeholdt den fulde PAC-signatur. Se https://go.microsoft.com/fwlink/?linkid=2210019 for at få mere at vide. Klient : <realm>/<Name>

Tredjepartsenheder, der implementerer Kerberos-protokollen

Domæner, der har tredjepartsdomænecontrollere, kan få vist fejl i gennemtvingelsestilstand.

Det kan tage længere tid for domæner med tredjepartsklienter at blive ryddet helt af overvågningshændelser efter installationen af en Windows-opdatering fra 8. november 2022 eller nyere.

Kontakt enhedsproducenten (OEM) eller softwareleverandøren for at finde ud af, om deres software er kompatibel med den seneste protokolændring.

Du kan få mere at vide om protokolopdateringer i emnet om Windows-protokollen på Microsofts websted.

Ordliste

Kerberos er en computernetværksgodkendelsesprotokol, der fungerer baseret på "billetter" for at give noder, der kommunikerer via et netværk, mulighed for at bevise deres identitet over for hinanden på en sikker måde.

Kerberos-tjenesten, der implementerer de godkendelses- og billettildelingstjenester, der er angivet i Kerberos-protokollen. Tjenesten kører på computere, der er valgt af administratoren af ressourcen eller domænet. den findes ikke på alle computere på netværket. Den skal have adgang til en kontodatabase for den ressource, den tjener. KPI'er er integreret i rollen som domænecontroller. Det er en netværkstjeneste, der leverer billetter til kunder til brug ved godkendelse til tjenester.

Privilege Attribute Certificate (PAC) er en struktur, der formidler godkendelsesrelaterede oplysninger, der leveres af domænecontrollere (DCs). Du kan få mere at vide under Certifikatdatastruktur for rettighedsattribut.

En særlig type billet, der kan bruges til at få andre billetter. Billetudgangsbilletten (TGT) opnås efter den indledende godkendelse i autentificeringstjenesten (AS) udveksling; derefter behøver brugerne ikke at præsentere deres legitimationsoplysninger, men kan bruge TGT til at få efterfølgende billetter.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.